漏洞总结 漏洞概述 该漏洞涉及OpenAEV平台中密码重置功能的安全问题。当用户未登录时,系统允许执行密码重置操作,这可能导致未经授权的用户访问或修改他人账户。 影响范围 所有使用OpenAEV平台的用户 未登录状态下的密码重置功能 修复方案 在多个API端点中增加了用户身份验证逻辑,确保只有已登录用户才能执行敏感操作: 1. DocumentApi.java - 在更新文档信息时验证当前用户身份 - 添加用户查找和异常处理 2. ExerciseApi.java - 在创建练习时验证用户身份 - 添加用户查找和异常处理 3. RestBehavior.java - 在多个方法中增加用户身份验证 - 包括检查组织访问权限和用户身份验证 4. InjectApi.java - 在创建注入时验证用户身份 - 添加用户查找和异常处理 5. ExerciseObjectiveApi.java - 在创建评估时验证用户身份 - 添加用户查找和异常处理 6. ScenarioObjectiveApi.java - 在创建评估时验证用户身份 - 添加用户查找和异常处理 7. TeamApi.java - 在获取团队信息时验证用户身份 - 添加用户查找和异常处理 8. MeApi.java - 在更新个人资料和信息时验证用户身份 - 添加用户查找和异常处理 9. PlayerApi.java - 在获取玩家列表时验证用户身份 - 添加用户查找和异常处理 10. User.java - 在密码重置功能中增加用户身份验证 - 确保只有已登录用户才能重置密码 POC代码