关键漏洞信息 漏洞概述 标题: Security Vulnerability Disclosure: Broken Access Control 发布者: devansh-pal-webkul 发布时间: 3小时前 CVE ID: CVE-2025-55741 CVSS v3 基本指标: - 严重性: 高 (8.1/10) - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 高 - 可用性影响: 高 影响的包和版本 包: unopim/unopim (Composer) 受影响版本: 0.3.0 及以下 修复版本: 0.3.1 漏洞描述 类别: Broken Access Control / Missing Authorization (OWASP A01:2021) 影响: 未经授权的产品删除 -> 数据丢失,可能的业务中断 受影响的行为 单个删除(已强制执行): - 返回 401 并提示“此操作未授权”对于缺乏删除权限的用户。 批量删除(未强制执行): - 允许在没有删除权限的情况下进行删除。这适用于多个ID和单个ID提交到批量端点。 证明概念 (PoC) 使用Burp Suite捕获了一个视频作为概念验证。视频链接为: https://youtu.be/J_WV8fCXJIM 弱点 CWE-284 CWE-862 报告者 Oxcharb