漏洞总结 漏洞概述 这是一个关于 OpenViking 项目中任务 API 所有权泄露的安全漏洞(CVE-862 / CWE-200)。 根本原因: 和 端点在挂载时未包含 。TaskTracker 将所有任务存储在一个全局命名空间中,缺乏所有权元数据。这导致任何能访问服务器的调用者都可以枚举或轮询其他用户创建的任务记录。 修复方案: 1. 为任务轮询端点和任务读取添加认证,并限制为已认证的拥有者。 2. 在内存跟踪器中持久化任务所有权元数据,而不将其暴露在 API 响应中。 3. 将异步重索引任务(async reindex task)的去重逻辑限制为同一拥有者,防止一个租户阻塞另一个租户的后台任务。 影响范围 未授权访问:未认证的调用者可以枚举最近的后台任务并检索每任务元数据。 信息泄露:暴露的元数据可能包含任务类型、状态、资源标识符、归档URI、结果负载和来自其他用户操作的清理字符串。 多租户干扰:在多租户部署中,异步重索引去重可能创建低级别的跨租户干扰(当不同用户引用相同的URI字符串时)。 CVSS评分:5.3 Medium。 概念验证 (POC) 代码 以下是截图中提供的复现漏洞的 curl 命令: