漏洞总结:API Key 管理 IDOR 漏洞 漏洞概述 标题:API Key 管理中的 IDOR 漏洞允许删除或修改任何组织的 API Key。 描述: API Key 管理端点( 和 )允许任何经过身份验证的用户删除或修改属于其他组织的 API Key。这些端点通过 JWT 对用户进行身份验证,但未对目标 API Key 的所有权进行验证。 技术细节: 在 文件中,端点使用了 (仅 JWT 验证),而没有验证 API Key 是否属于请求用户的组织。 影响范围 服务中断:删除其他组织的 API Key 会破坏其代理集成。 访问撤销:攻击者可以撤销合法用户的程序访问权限。 拒绝服务:系统性地删除平台上的所有 API Key。 受影响产品:SuperAGI (pip 包) 受影响版本:所有版本,包括最新版本(main 分支,commit c3c1982)。 修复方案 已修复版本:页面未提供具体的修复版本或补丁链接。 概念验证 (PoC) 代码 删除受害者 API Key (ID=1) 修改受害者 API Key (更改名称)