漏洞报告总结:Broken Access Control (CVE-2025-67259) 漏洞概述 漏洞名称:Broken Access Control via API Method Manipulation (通过API方法操纵导致的访问控制失效) CVE编号:CVE-2025-67259 受影响产品:ClassroomIO 受影响版本:v0.1.13 漏洞类型:Broken Access Control (访问控制失效) / API Authorization Bypass (API授权绕过) 严重程度:信息泄露 (Information Disclosure) 攻击向量:已认证的低权限用户 (Authenticated Low Privilege) 根本原因:后端缺乏严格的基于角色的访问控制检查,且对HTTP方法(POST/GET)的验证不一致。 影响范围 该漏洞允许已认证的低权限“学生”用户通过修改API请求方法,访问未授权的课程级数据。具体泄露的数据包括: 学生个人资料 导师信息 组成员结构 内部课程元数据 修复方案 1. 强制实施基于角色的访问控制:在API层实施严格的基于角色的访问控制。 2. 实施行级安全策略 (RLS):确保数据访问限制在行级别。 3. 独立于HTTP方法验证授权:无论使用何种HTTP方法,都应独立验证授权。 4. 限制嵌套关系查询:对低权限角色限制嵌套关系查询。 5. 全面审查API授权:对API授权逻辑进行彻底审查。 概念验证 (POC) 利用步骤: 1. 以正常学生身份登录。 2. 拦截一个合法的 请求(针对 端点)。 3. 将 HTTP 方法从 修改为 。 4. 保持相同的 Authorization 和 apikey 参数。 5. 发送请求,服务器将返回包含敏感数据的扩展响应。 修改后的请求代码: 预期行为: 服务器应拒绝该请求或仅返回学生角色允许的数据(如 403 Forbidden)。 当前行为: 请求成功处理,返回包含其他学生资料、导师资料、组成员结构等敏感数据的完整响应。