关键漏洞信息 Bug Description 问题: 当 OpenViking 服务器启动时没有配置 ,身份验证被有效禁用,请求可以解析为 而无需任何 API 密钥。这允许匿名调用者访问受保护的端点并执行管理操作。 类型: 配置错误导致的访问控制破坏。 Affected Surface 受影响的端点: - - - - - - - - - - - 和 Code-Level Explanation 1. 启动行为: 在 中,如果 未配置,身份验证会完全禁用。 2. 身份解析: 在 中,如果 为 ,请求会被解析为 。 3. 授权影响: 在检测到 时会无条件通过,导致权限提升。 4. 信任模型破坏: 系统全局身份验证状态变化,未配置 的部署错误成为自动权限授予。 Steps to Reproduce 1. 配置 OpenViking 服务器时省略 。 2. 启动服务器。 3. 不使用 API 密钥调用受保护端点。 4. 不使用凭据调用仅限 ROOT 的端点。 5. 尝试在没有凭据的情况下进行管理操作。 Expected vs. Actual Behavior 预期: 受保护端点应拒绝未认证请求,返回 401(或403)错误。 实际: 未认证请求成功,因为访问被解析为 角色。 Security Impact 类别: 访问控制破坏 / 安全配置错误 风险: 高(匿名权限提升到管理级别) Suggested Fix 如果缺失 则关闭服务(除非显式允许的本地不安全模式)。 禁用未绑定到 的不安全模式。 添加启动验证及针对不安全配置的强烈警告。