关键信息 漏洞描述 漏洞类型: 不正确的授权漏洞 (Incorrect Authorization Vulnerability) 受影响版本: LiuYuYang01 ThriveX-Blog Project <= 3.1.7 版本 原因: API 在调用 方法时未验证当前用户的权限,导致任何拥有有效令牌的用户都可以修改网站配置。 POC (概念验证) 1. 步骤: - 使用管理员账户登录。 - 添加一个普通用户,并设置其角色为作者,但不包括系统权限。 - 当前网站配置如图所示。 - 使用普通用户登录后,访问 路由没有访问权限。 2. 请求包: 3. 结果: - 再次使用管理员账户登录,可以看到修改成功。 影响 任何拥有有效令牌的用户可以绕过权限检查,修改网站配置,可能导致数据泄露或篡改。