漏洞总结 漏洞概述 漏洞名称: IDOR in PATCH /api/v2/users/{user_id} allows USER_CONFIG users to disable or modify other users' accounts 漏洞类型: 不安全的直接对象引用 (IDOR) 创建者: Kacper Leszczyński 创建时间: 2周前 状态: 已完成 影响范围 操作系统: Linux 安装类型: Docker Crafty版本: v4.10.2 修复方案 预期结果: 端点应验证请求用户是否是目标用户的经理,然后才允许修改。请求目标用户超出请求者管理范围的请求应被拒绝并返回403。此检查已针对密码字段存在,但缺少对其他所有字段包括启用状态的检查。 复现步骤 1. 以非超级用户身份使用USER_CONFIG权限进行身份验证,并获取Bearer token。 2. 通过GET /api/v2/users检索目标用户的ID。