关键信息 版本和分支 版本: latest (commit 1f75257) 分支: master 漏洞描述 问题: 存在一个授权绕过漏洞,攻击者可以利用此漏洞访问 API 而无需任何令牌。 源代码分析 受影响的类: 受影响的函数: 关键逻辑: 使用 获取请求路径,并判断是否满足 但不以 或 开头。如果不满足条件,则返回 绕过拦截器;否则,阻止当前请求并重定向到登录页面。 漏洞细节 URL规范化问题: 尽管对原始URL路径进行了一些规范化处理(如URL解码、小写转换和斜杠折叠),但处理空格时直接截断路径,导致问题。 示例: 攻击者可以通过路径如 绕过访问限制。 复现步骤 直接访问: 访问 将重定向到管理员登录页面。 绕过方法: 访问 可以绕过认证检查并发布任意文章。 测试确认 测试结果: 在测试分支 上使用特定HTTP请求成功复现漏洞。