漏洞关键信息 漏洞编号: GHSA-9mrr-px2c-w42c CVE ID: 无已知CVE 影响版本: ZimaOS 1.5.0 修复版本: 无 严重性: 中等 (CVSS评级: 5.3) 漏洞描述: - ZimaOS 1.5.0 的 /v1/users/name API端点在无需任何授权的情况下允许未认证用户访问用户名。 - 攻击者可通过该漏洞枚举用户名,并利用其进行进一步攻击,如暴力破解或钓鱼攻击。 攻击向量: - 通过HTTP/Server-ip/v1/users/name发送请求,预期应返回401 Unauthorized或403 Forbidden,但实际返回用户名信息。 环境: - 在局域网和Tailscale下复现(远程主机连接至tailnet;路径中无反向代理)。 - 使用私有浏览器窗口确保无cookie,上文PoC中也清除cookie/headers。 - 通过CLI curl: 验证。 影响: - 用户枚举:攻击者可收集用户名,用于密码暴力破解或定向钓鱼攻击。 - 后续利用:此漏洞可能导致其他漏洞更容易被利用,特别是在应用中存在基于用户名的访问控制。 范围: - 在局域网和Tailscale下可复现。 - 通过私有浏览器会话和无状态curl请求验证。 时间线: - 发现日期: 2025-10-10 - 报告日期: 2025-10-10 报告者: - xobash (请在修复时将报告者列入并更新CVE在GitHub Security Advisory)