从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞标题:Prefill data in read-only components could be tampered with in certain circumstances 漏洞严重性:Moderate 受影响的版本:< 3.2.7, < 3.3.3, 3.1.x, 3.0.x, 2.8.x (and likely any older version) 已修复的版本:3.2.7, 3.3.3 CVE ID:CVE-2025-64515 CVSS v3分数:4.3 CVSS v3基本度量值: - 攻击向量:Network - 攻击复杂度:Low - 所需特权:Low - 用户交互:None - 范围:Unchanged - 机密性:None - 完整性:Low - 可用性:None 漏洞描述: Open Forms通过其预填充机制支持检索“真实”数据,并将这些数据分配给表单字段作为默认值。 当前建议的防止用户更改数据的机制是将表单字段标记为只读(在JSON中禁用)。 在最终输入验证运行时,Open Forms会检查这些标记字段的数据篡改。 但是,如果字段是通过表单逻辑动态标记为只读的,则在最终验证步骤中不会检测到这一点,用户可以通过Postman/cURL等工具绕过此验证。 影响: 预填充数据字段被动态设置为只读/禁用的表单可以被恶意用户有意修改,以修改他们不应该修改的数据。 对于普通用户,表单字段被标记为只读,无法通过用户界面修改。 修复措施: 已在Open Forms的维护版本中进行修复: - 3.3.3 - 3.2.7 修补程序可以通过提交应用到旧版本。 解决方法: 建议反转表单逻辑:最初将表单字段标记为只读,并通过逻辑使其可编辑,而不是使用逻辑将其标记为只读。 发现信息: 通过Almelo市进行的渗透测试中被发现。