漏洞概述 标题: IDOR在Project端点允许跨组织项目访问和修改 描述: 项目管理端点允许任何经过身份验证的用户读取、修改或列出属于其他组织的项目。特别是 端点非常危险,因为它允许按ID列出任何组织的所有项目。 细节: 中的端点通过 进行身份验证,但从未验证组织成员资格。 具体代码示例显示了 、 和 三个端点,这些端点都没有进行组织级别的权限检查。 影响范围 信息泄露: 攻击者可以枚举所有项目及其配置,跨越所有组织。 数据完整性: 项目名称/描述可以被修改,破坏团队工作流程。 侦察: 项目列表揭示了组织结构及代理部署模式。 受影响产品: 生态系统: pip 包名: SuperAGI 受影响版本: 所有版本,包括最新的(main分支,commit c3c19e2) 修复版本: 无 严重性: 高 向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 修复方案 需要在 的基础上增加组织级别的权限验证,确保用户只能访问其所属组织的项目。 POC代码