漏洞概述 漏洞编号: #791077 漏洞名称: SuperAGI up to c3c1982 Authorization Bypass Through User-Controlled Key (CWE-639) 漏洞类型: 不安全的直接对象引用(IDOR) 漏洞描述: 在 的 和 方法中存在不安全的直接对象引用(IDOR)。这两个端点仅通过 验证 JWT 令牌,但未进行组织所有权检查。攻击者可以使用受控的 参数读取或覆盖任何组织的预算限制。 影响范围 受影响版本: SuperAGI up to c3c1982 影响: 财务操纵。攻击者可以增加自己的预算或减少受害者的预算限制,导致服务中断。 修复方案 修复建议: 在 和 方法中添加组织所有权检查,确保只有授权用户才能访问和修改预算。 POC代码 其他信息 提交者: Eric-z (UID 95690) 提交时间: 04/27/2026 12:51 PM (24 days ago) 审核时间: 04/19/2026 07:41 AM (23 days later) 状态: Accepted ValDB entry: 358211 [TransformerOptimus SuperAGI up to 0.0.14 Budget Endpoint budget.py get_budget/update_budget authorization] 点数: 20