漏洞总结:SuperAGI 越权访问漏洞 (CVE-639) 漏洞概述 SuperAGI 的 和 方法存在不安全的直接对象引用 (IDOR) 漏洞。 应用未能验证目标代理执行是否属于请求用户的组织。虽然这两个方法都调用了 来验证 JWT 令牌,但它们在 URL 参数上未进行所有权检查。 影响范围 攻击者可以终止受害者的运行代理,从而消耗受害者的 LLM API 额度。 修复方案 在 URL 参数上增加所有权检查,确保只有所属组织的用户才能访问或修改该代理执行记录。 POC 代码