漏洞总结:The comments API allows access to all commentable resources 漏洞概述 Decidim 平台存在一个权限绕过漏洞。API 中的 字段允许访问平台内所有可评论的资源,而无需进行权限检查。默认配置下, 端点是公开可用的。 影响范围 受影响版本:> 0.0.1 修复版本:0.31.1, 0.30.5 严重程度:High (7.5/10) CVSS v3 指标:攻击向量 Network,攻击复杂度 Low,用户交互 Unchanged,完整性 High。 受影响实例:所有未对 端点进行安全加固的 Decidim 实例。 修复方案 官方补丁版本尚未提供(Patches: Not available),建议采取以下临时缓解措施: 1. 限制 API 访问权限(推荐) 限制 端点仅允许经过身份验证的用户访问。 自定义代码方案: 在应用初始化期间运行以下代码: Nginx 配置方案: 限制 端点仅允许特定 IP 范围访问: 2. 组织设置 如果启用了组织设置“Force users to authenticate before access organization”,则漏洞影响范围将仅限于允许登录到 Decidim 平台的用户。此设置于 0.19.0 版本引入,并在 0.22.0 版本中应用于 端点。