关键信息 漏洞描述 漏洞类型: 不正确的授权漏洞 (Incorrect Authorization Vulnerability) 影响版本: LiuYuYang01 ThriveX-Blog 项目 <= 3.1.7 版本 原因: API 未验证当前用户权限,导致任何具有有效令牌的用户都可以调用 方法修改网站配置。 POC (概念验证) 1. 步骤: - 使用管理员账户登录。 - 添加一个普通用户,并设置其角色为作者,但不包括系统权限。 - 当前网站配置如图所示。 - 使用普通用户登录后,访问 路由时没有访问权限。 2. 请求包: 请求体: 3. 结果: - 再次使用管理员账户登录,可以看到修改成功。