关键漏洞信息 1. 漏洞概述 问题描述: 网站中有漏洞导致普通用户可以将自己提升为超级用户,从而获得超级用户的权限,这违反了权限控制原则。 原因: 由于 标识在代码中被用于控制权限,但代码对这个标识没有进行有效限制和审核,导致普通用户可以随意设置这个标识为 ,从而获得超级用户权限。 2. 修复措施 代码修改: - 修改了 ,在权限检查函数中增加了对第 和 字段的权限控制,确保其只能由管理员更新。 - 在 中增加了严格的字段检查,防止未经验证的字段被修改。 - 在 中,将其限制到只有超级用户才可以访问 Admin Panel 的接口。 3. 测试验证 测试点: - 验证普通用户无法修改 、 等字段。 - 确保普通用户无法通过 API 的 方法更变自己的 。 - 在代码上增加了对某些函数的断测点,测试后所有断测都通过。 4. 变更记录 变更文件: - - - 等。 5. 安全通告 已发布安全补丁 GHSA-7pvv-w55f-qmw7,并将针对此问题的补丁版本v2.55.0第一时间应用于生产环境中。