漏洞总结 漏洞概述 漏洞类型: 权限绕过(IDOR - 不安全的直接对象引用) 影响组件: ChurchCRM 个人 API 漏洞描述: 攻击者可以通过修改 API 请求中的 参数,访问其他用户的个人信息,即使他们没有相应的权限。 影响范围 受影响版本: ChurchCRM 的所有版本 影响用户: 所有使用 ChurchCRM 的用户,特别是那些没有管理员权限的用户 修复方案 修复措施: - 在 文件中,添加权限检查逻辑,确保只有具有 权限的用户才能访问特定人员的详细信息。 - 在 文件中,增加对无管理员权限用户的 API 访问限制,防止他们通过 API 获取敏感信息。 - 在 文件中,更新 方法,确保正确判断用户是否具有管理员权限。 - 在 文件中,增加对无管理员权限用户的重定向逻辑,防止他们访问受限页面。 - 在 文件中,增加对无管理员权限用户的访问限制,防止他们通过外部路由获取敏感信息。 POC 代码