漏洞总结 漏洞概述 该页面为 Koha 项目的发布说明(Release Notes),列出了多个已修复的漏洞(Bugs Fixed),涵盖以下领域: 1. Patron(读者)管理相关: 密码过期数据丢失: 超级管理员(superlibrarian)编辑 Patron 时,Patron 的密码过期日期会丢失(ID: 35796)。 权限检查缺失: 脚本缺少对人工贷项(manual credit)和发票(invoice)的权限检查(ID: 36076)。 搜索显示错误: 在 Patron 搜索中,地址栏错误地显示了授权值代码(authorized value code)(ID: 36298)。 详情页面权限: 在详情页面查看 Patron 姓名需要 权限(ID: 35600)。 链接错误: “查看所有费用”(See all charges)查看担保费用的超链接未正确链接(ID: 36292)。 2. REST API 相关: 订单行删除逻辑: REST API 应仅允许删除已取消的订单行(cancelled order lines)(ID: 36066)。 3. 报表(Reports)相关: 报告权限: 仅用于“按物品类型编目”(Catalog by item type)报告(ID: 31988)。 无用代码: 模板中包含指向 的无用代码(ID: 35949)。 4. 员工界面(Staff Interface)相关: 分支选择错误: 登录错误后,系统错误地选择了错误的分支(Wrong branch picked)(ID: 35935)。 拼写错误: 员工界面中 "Your concern was successfully submitted" 存在拼写错误(ID: 36005)。 JS 错误: 访问不存在的书目记录(non-existent biblio record)时,控制台出现 JS 错误(ID: 36099)。 5. 模板(Templates)相关: JS 错误: 模板中存在 JS 错误(ID: 36332)。 显示问题: 篮子详情模板(basket details template)显示空的购物车部分(empty cart-section)(ID: 35351)。 影响范围 用户群体: 超级管理员、普通员工(Staff)、系统管理员。 功能模块: Patron 信息管理、工资/发票处理、REST API 接口、报表生成、员工后台操作界面、前端模板渲染。 修复方案 上述所有漏洞已在当前版本(Release notes 所示版本)中通过代码更新修复。 POC代码 截图中未包含具体的 POC 代码或利用代码。