从这个网页截图中可以获得以下几个关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:Free-CRM Broken Function Level Authorization Vulnerability - CVE编号:CVE-Free-CRM-Advisories - 影响:允许特权提升和全用户管理劫持 2. 受影响的产品和版本: - 产品:Free-CRM - 受影响的版本:1.0 - 最后漏洞提交:b83c40990671... - 修复版本:暂无 3. CVSS评分: - CVSS v3.1评分:8.8(高) 4. 漏洞分类: - 类型:Broken Access Control、Broken Function Level Authorization (BFLA)、Insecure Direct Object Reference (IDOR)、Sensitive Information Disclosure、Privilege Escalation - OWASP映射:OWASP Top 10 2021 - A01: Broken Access Control、OWASP API Top 10 - API5: Broken Function Level Authorization、OWASP API Top 10 - API3: Broken Object Property Level Authorization 5. 时间线: - 漏洞发现日期:2026-02-09 - CVE申请日期:暂无 6. 漏洞利用步骤: - 无身份验证的Swagger暴露 - 从普通用户登录中获取Bearer Token - 通过GetUserList枚举所有用户 - 通过IDOR访问敏感配置文件 - 通过UpdateUser修改任意用户 7. 修复建议: - 限制Swagger访问 - 对安全API执行服务器端RBAC - 实现对象级授权 - 在发布前进行安全测试 8. 参考文献: - 相关的安全标准和参考链接 这些关键信息帮助理解漏洞的性质、影响范围和潜在的利用方式,以及如何进行修复和防范。