漏洞关键信息 漏洞类型: 卡片评论作者欺骗 (卡对评论作者IDOR) 通过API 修复说明: 移除了对 的直接引用,改为使用 ,确保评论的作者是发送请求的当前用户,从而防止评论作者的伪造。 相关文件更改: - models/cardComments.js - 移除了 的参数说明,改为直接使用 。 - public/api/wekan.yaml - 移除了 参数,改为使用 作为评论的作者标识。 修复日期: 2025年12月29日 提交者: xet7 版本影响: 从v8.29到v8.19的版本受到影响。 致谢: Joshua Rogers, @MegaManSec, Twitter和joshua.hu 代码变更摘录 models/cardComments.js public/api/wekan.yaml 总结 该修复主要针对防范通过API进行的卡片评论作者身份伪造的问题,通过限制评论的作者为发送请求的实际用户,增强了系统的安全性。