MiroFish 关键功能缺失认证漏洞总结 漏洞概述 产品名称: MiroFish 版本: 0.1.2 漏洞类型: 缺失认证 (Missing Authentication) 严重程度: 严重 (Critical) CVSS v3.1 评分: 9.1 (Critical) 核心问题: MiroFish v0.1.2 暴露了 50 多个 REST API 端点,这些端点完全没有认证或授权机制。所有端点(包括删除项目、终止模拟、删除报告等破坏性操作)均可被任何网络可达的客户端访问。不存在会话管理、令牌验证或 API 密钥检查。 影响范围 数据泄露: 任何用户均可读取所有项目元数据、模拟配置、报告及文件信息。 数据破坏: 攻击者可永久删除所有项目、模拟和报告。 服务中断: 攻击者可停止正在运行的模拟、终止进程或关闭环境。 财务损失: 攻击者可触发昂贵的 LLM API 调用(如 和 ),导致费用耗尽。 进程控制: 攻击者可生成任意模拟子进程。 修复方案 立即修复: 添加基本的 API 密钥认证中间件。 代码实现: 未受保护的破坏性端点列表 (POC/利用参考) 详细复现步骤代码 1. 枚举所有项目 (数据泄露) 2. 枚举所有模拟 3. 枚举所有报告 4. 创建和删除项目 (破坏性操作) 创建项目: 验证项目存在: 无认证删除项目: 验证删除 (通过 ): 5. 列出所有后台任务**