漏洞总结:Vision Helpdesk 关键漏洞 漏洞概述 漏洞名称:序列化 IDOR (Serialized IDOR) 及会话预测 (Session Prediction) 受影响软件:Vision Helpdesk 漏洞类型:Insecure Direct Object Reference (IDOR) 核心原因:Vision Helpdesk 使用名为 的 Cookie 管理会话。该 Cookie 是一个 Base64 编码的序列化对象,其中包含 字段。攻击者可以解码该 Cookie,修改 的值(如递增或递减),然后重新编码并替换原始 Cookie,从而无需登录即可冒充其他用户。 影响范围 严重程度:关键 (Critical) 影响:攻击者可以通过修改 Cookie 中的 进行会话劫持,直接访问其他用户的账户,无需经过身份验证。 受影响版本:5.6.10 之前的版本。 修复方案 官方补丁:厂商已确认漏洞,并在 版本 5.6.10 中进行了修复。 临时缓解措施: 禁用受影响的脚本。 实施访问控制措施(如 IP 白名单),直到厂商发布补丁。 Proof-of-Concept (PoC) 提取 注:页面中提供了可下载的 PoC 脚本链接,但未在截图中直接展示代码内容。根据描述,该脚本用于测试安装是否受到序列化 IDOR 漏洞的影响。*