漏洞关键信息 CVE-ID CVE-2025-70141 产品 Customer Support System 1.0 漏洞类型 Broken Access Control / Missing Authentication 影响 远程未认证攻击者 可以通过 调用特权方法,执行敏感的状态变更操作,如创建/修改/删除用户、票务、部门和评论。 详细描述 问题原因: 缺乏对用户的认证和授权检查,允许未认证的用户执行敏感操作。 CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H CWE: CWE-306, CWE-862 示例PoC 1. 创建客户(未认证) 2. 删除管理员用户(未认证) 影响 未授权的数据创建/修改/删除 权限提升 推荐修复措施 1. 在入口点强制认证: 2. 添加每个动作的授权检查 3. 增加CSRF保护措施