[security] fix(bot): prevent unauthenticated remote bot control via OpenAPI HTTP routes #1447 漏洞概述 该漏洞存在于 Volcengine OpenViking 项目中。由于 HTTP OpenAPI 接口(特别是 和 等路由)在配置了空的 或未配置时,未能正确拒绝请求,导致攻击者可以通过 HTTP 接口向机器人发送未经身份验证的指令。 影响范围 受影响的路由: - - - - 相关的会话管理路由 - 特定于频道的路由(如 ) 影响: - 攻击者可以驱动机器人执行操作,创建和列出会话。 - 攻击者可以发送未经身份验证的消息或会话请求,绕过认证机制。 - 可能导致机器人被恶意控制,执行非预期的操作。 修复方案 代码修改: - 在 中增加对 的检查,确保在 为空或未配置时拒绝请求。 - 在 中更新 CLI 日志记录,明确记录 的要求。 - 在 中更新配置语义文档,说明空 被视为禁用路由。 - 在 中添加回归测试,覆盖未认证访问的情况。 POC 代码 其他信息 CVSS 评分:8.8 High 修复状态:已合并(Merged) 修复时间:2 days ago