漏洞总结:SuperAGI 授权绕过漏洞 (CVE-639) 漏洞概述 SuperAGI 存在不安全的直接对象引用 (IDOR) 漏洞。在 、 和 等 API 端点中,虽然验证了 JWT 令牌,但未对 参数进行所有权检查。攻击者可以使用自己的 JWT 令牌,通过修改 来操作其他用户的代理,从而删除代理、停止调度任务或读取调度数据。 影响范围 数据破坏:删除代理会终止其所有执行并停止所有调度任务。 服务中断:受害者的自动化代理管道会被立即停止。 信息泄露:代理的调度配置(cron 表达式、开始时间等)会被暴露。 修复方案 在 、 和 等端点中,必须验证请求中的 是否属于当前 JWT 令牌对应的用户。 POC 代码