漏洞概述 标题: IDOR在用户更新端点中允许跨组织账户接管 描述: 端点允许任何已认证用户通过更改URL中的 来修改其他用户的个人资料,包括密码。这导致任何用户的完全账户接管。 细节: - 端点 接受任何 并更新用户记录,而不验证请求用户是否有权限。 - 仅验证JWT,不验证认证用户是否与 相同或属于同一组织。 - 相关的 IDOR在CVE-2024-9418中跟踪。此报告涵盖更新(写入)变体,具有更严重的影响:账户接管。 影响范围 账户接管: 攻击者可以更改任何用户的密码并以该用户身份登录。 权限升级: 如果存在管理员用户,攻击者可以接管管理员账户。 数据泄露: 完全访问受害者的代理、API密钥、配置和执行历史。 修复方案 生态系统: pip 包名称: SuperAGI 受影响版本: 所有版本,包括最新(main分支,提交 ) 已修补版本: 未提供具体版本 严重性 严重性: 关键 向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 弱点 CWE: CWE-639: 通过用户控制的键绕过授权 发生情况 永久链接: https://github.com/TransformerOptimus/SuperAGI/blob/c3c1982e7bd6a11cfed53c5a193ea502f924b1b6/superagi/controllers/user.py#L144 POC代码