漏洞总结:Expired API Keys Are Not Rejected (过期的API密钥未被拒绝) 漏洞概述 该漏洞存在于 项目中。服务器在 表中存储了可选的 列,允许通过 API 设置 API 密钥的过期日期。然而,系统在认证过程中从未强制执行此过期时间。这意味着任何带有 日期的 API 密钥,无论其过期日期是否已过,都会被无限期接受。 影响范围 受影响版本: 已修复版本: 影响详情: 任何被授予时间限制 API 密钥的用户或集成,在密钥过期后仍能无限期访问所有端点。 这影响了承包商/第三方集成(其密钥本应过期)。 管理员试图“过期”密钥作为缓解措施将失效。 任何要求时间限制凭证轮换的合规性要求将被违反。 修复方案 在 的 函数中添加过期检查逻辑。 POC 代码 (Proof of Concept) Step 1 — Register, sign in, and create an API key: Step 2 — Confirm the key works (baseline): Step 3 — Force-expire the key in the database: Step 4 — Use the expired key:**