漏洞关键信息总结 漏洞概述 漏洞名称:Password-protected share bypass via direct serve endpoint(通过直接服务端点绕过密码保护分享) CVE编号:CVE-2024-34378 严重程度:High(7.5/10) 漏洞类型:访问控制漏洞 / 授权绕过(Broken access control / authorization bypass) 核心问题:应用程序存在两条不同的代码路径处理分享文档: 正常公开分享流程( ):正确验证密码 直接文件服务流程( ):未执行相同的授权检查 攻击者可通过直接调用文件服务端点,在未完成密码验证流程的情况下获取受密码保护的PDF文档。 --- 影响范围 --- 修复方案 升级至 PdfDing v1.7.0 或更高版本。 --- 相关代码路径 对比:正常流程 会在渲染 前验证 。