漏洞概述 该提交( )修复了 项目中 artifact cache 服务器的未授权访问漏洞。原实现中缓存服务器未实施任何身份验证机制,攻击者可无需认证直接访问或操作缓存数据。 影响范围 受影响组件: 包中的缓存服务器处理器 风险: 任意用户可读取、上传、删除缓存条目,可能导致: - 敏感构建产物泄露 - 缓存投毒攻击 - 缓存数据被恶意删除 修复方案 核心改动:添加基于随机 Token 的认证机制 1. 生成随机 Token( 第90-94行): 2. URL 结构改造:将 API 路径从 改为包含 Token 前缀的 3. 监听地址绑定:限制仅绑定到指定的 (第109行): 4. 外部 URL 包含 Token(第137行): 测试用例验证 新增 测试验证未授权访问返回 404: 新增 测试验证绑定地址限制: