漏洞总结:IDOR 在组织更新端点允许修改任意组织 漏洞概述 标题:IDOR 在组织更新端点允许修改任意组织 描述: 端点允许任何已认证用户通过修改 参数来更改任意组织的名称和描述,未进行成员资格验证。 PoC 代码: 影响范围 受影响产品:SuperAGI 受影响版本:所有版本,包括最新(main 分支,commit c3c1982) 严重程度:Medium 向量字符串:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N 弱点:CWE-639: Authorization Bypass Through User-Controlled Key 修复方案 补丁版本:未提供具体补丁版本信息。 建议措施: - 在更新组织信息时,增加对当前用户是否为该组织成员的验证。 - 确保 参数只能由该组织的成员进行修改。