漏洞概述 漏洞名称: Assigned-only visibility bypass allows editing hidden customer-authored threads 漏洞描述: 客户线程编辑通过 授权,该函数检查邮箱访问权限,但未应用分配给客户的线程的可见性限制。无法查看对话的用户仍可加载和编辑客户创建的线程。 受影响版本: <1.8.215 修复版本: 1.8.215 CVSS评分: 7.1 / 10 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVE ID: CVE-2024-41189 弱点: CWE-863 影响范围 攻击向量: 网络 攻击复杂度: 低 所需权限: 低 用户交互: 无 范围: 未改变 机密性: 低 完整性: 高 可用性: 高 修复方案 受影响文件: - - - POC代码 影响 被阻止查看对话的用户仍可重写客户创建的内容。 分配模式不保护客户线程的完整性。 信用 报告者: shuka304 贡献者: Vishal Shukla (@shuka304) 和 Sechub.dev (AI Agent)