漏洞总结 漏洞概述 ApostropheCMS 存在一个安全漏洞,允许未经授权的访问者通过 和 查询构建器泄露受 保护的字段值。攻击者可以利用 MongoDB 的 操作符忽略投影(projections)的特性,获取本应被限制的字段数据。 影响范围 所有使用 配置项的 ApostropheCMS 实例 受 保护的字段 匿名 API 调用者 修复方案 1. 在 函数中添加对 的检查 2. 在 函数中增加权限验证逻辑 3. 在 和 查询构建器中强制应用投影限制 4. 添加测试用例验证修复效果 POC代码