从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞信息 - 漏洞标题: Missing Authorization on Agent Endpoint - GitHub Advisory ID: GHSA-cvwj-6c9h-jg6v - CVE ID: CVE-2026-27608 2. 受影响与修复版本 - 受影响包: parse-dashboard (npm) - 受影响版本: >= 7.3.0-alpha.42 <= 9.0.0-alpha.7 - 修复版本: 9.0.0-alpha.8 3. 漏洞描述与影响 - 描述: - AI Agent API端点(POST /apps/:appId/agent) 缺少授权机制检查。 - 认证用户可以利用这个漏洞,通过篡改URL中的应用ID,访问其他应用的数据。 - 仅具有只读权限的用户,可借用此漏洞获得完整的主密钥而非只读密钥,并赋予自己的写入权限,从而进行写入和删除操作。 4. 漏洞等级与指标 - 严重等级: Critical - CVSS v4.0评分: 9.3/10 - CVSS v4.0 Base Metrics: - Exploitability Metrics: - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: None - User Interaction: None - Vulnerable System Impact Metrics: - Confidentiality Impact: High - Integrity Impact: High - Availability Impact: None - Subsequent System Impact Metrics: - Confidentiality Impact: High - Integrity Impact: High - Availability Impact: None - 称作CVSS 4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N 5. 漏洞解决与应急措施 - 修复方案: - 在服务端添加按应用授权机制并限制只读用户的读取操作权限,同时洗掉 。 - 规避措施: - 去除仪表板配置中的 配置块。受到影响的仪表板是那些启用了 配置的。 6. 漏洞链接 - GitHub Advisory: GHSA-cvwj-6c9h-jg6v - 修复的发布: https://github.com/parse-community/parse-dashboard/releases/tag/9.0.0-alpha.8 7. 相关角色 - mtrezza: 协调员 - ByamB4: 提交者