漏洞概述 漏洞名称: 未明确具体漏洞名称,但涉及多个安全相关的改进和修复。 漏洞描述: - 邀请令牌验证: 在 路由及相关邀请/注册流程中添加了邀请令牌检查。 - 访问控制细化: 调整了角色和查询构建器访问权限,使项目管理员能够正确操作标记数据集。 - 标记数据集编辑限制: 防止项目访问用户从超出其允许范围的数据集中编辑标记数据集。 - 报告访问加固: 阻止同一团队的用户通过猜测报告名称访问他们无权访问的报告。 - 共享策略刷新保护: 确保 不会绕过共享策略令牌或报告密码。 - 共享策略权限: 防止团队成员编辑他们无权访问的项目的共享策略。 - 隐藏图表保护: 修复了一个问题,即如果已知图表 ID,公共报告中的隐藏图表仍可能被访问。 影响范围 影响用户: 所有使用 Chartbrew v5 的用户,特别是涉及邀请、注册、数据集编辑、报告访问和共享策略管理的用户。 影响功能: 邀请令牌验证、访问控制、数据集编辑、报告访问、共享策略管理等关键功能。 修复方案 邀请令牌验证: 在 路由及相关流程中添加了邀请令牌检查。 访问控制细化: 调整了角色和查询构建器访问权限,确保项目管理员能够正确操作标记数据集。 标记数据集编辑限制: 实施了限制,防止项目访问用户从超出其允许范围的数据集中编辑标记数据集。 报告访问加固: 阻止同一团队的用户通过猜测报告名称访问他们无权访问的报告。 共享策略刷新保护: 确保 不会绕过共享策略令牌或报告密码。 共享策略权限: 防止团队成员编辑他们无权访问的项目的共享策略。 隐藏图表保护: 修复了隐藏图表在公共报告中仍可能被访问的问题。 POC代码或利用代码 页面中未包含具体的 POC 代码或利用代码。