漏洞关键信息总结 漏洞概述 该 Pull Request 修复了一个权限控制漏洞。在 模块中,原本允许拥有 权限的用户执行某些内部 ACP(Auto-Command Processor)配置修改操作(如设置模式、状态、权限等)。这些操作实际上应该仅限于拥有 权限的管理员用户。此漏洞可能导致非管理员用户篡改内部配置或状态。 影响范围 受影响文件: (核心逻辑) 和 (测试用例)。 受影响功能: ACP 命令处理逻辑,具体涉及的操作包括 , , , , , , , 等。 修复方案 1. 在 中定义了一个 集合,明确列出所有需要管理员权限才能修改的操作(如 "set-mode", "cancel", "steer" 等)。 2. 在 函数中增加权限检查逻辑:如果用户执行的操作属于 ,则强制要求 权限。 3. 如果用户权限不足(例如只有 ),系统将拒绝执行并返回错误信息 "This acp action requires operator.admin on the internal channel."。 4. 增加了相应的单元测试用例,验证 用户无法执行这些操作,而 用户可以。 相关代码块 1. 修复逻辑代码 ( ) 2. 测试验证代码 ( )