漏洞总结:Global Gym Configuration Update Endpoint Broken Access Control 漏洞概述 漏洞类型:垂直权限提升(Broken Access Control) 漏洞描述: 在 项目中,全局配置编辑端点 存在权限绕过漏洞。 该端点由 实现,虽然视图声明了 ,但由于其继承的 仅执行所有权检查(Ownership checks),而全局配置对象( )没有所有者(Owner),导致权限检查被跳过。 这使得低权限认证用户可以修改安装级别的全局配置,触发全局副作用。 影响范围 受影响版本: >= 2.5 (测试版本 2.5.0a1) 严重程度:High (7.6 / 10) 攻击向量:网络 具体影响: 允许低权限用户篡改租户分配默认值。 影响新注册和现有用户的批量更新。 允许未授权修改安装级状态,违反管理员信任边界。 修复方案 确保在表单分发前运行权限检查。 方案 1:使用项目权限 Mixin(推荐) 修改 ,将 放在继承列表的前面: 方案 2:直接使用 Django 权限 Mixin** 或者直接使用 Django 的 和 。 概念验证 (POC) 代码 页面中提供了用于验证漏洞的 Python 代码片段( 中的 方法),展示了修改全局配置后的副作用: