漏洞总结 漏洞概述 漏洞名称: User avatar creation, replacement and deletion are not gated by user update permissions 漏洞描述: 该漏洞影响所有Kirby站点,其中特定角色的用户没有权限更新用户信息( 或 权限被禁用)。这可能是由于在用户蓝图(blueprint)中通过 配置了目标用户或两者的组合。 影响: 缺少授权允许已认证用户执行他们本不应执行的操作。缺失授权的效果可能包括对敏感信息的未授权访问以及对内容或系统信息的未授权更改。 影响范围 受影响版本: 修复版本: CVSS v3 基础指标: - 严重性: 5.3 / 10 - 可利用性指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击要求: 低 - 特权要求: 低 - 用户交互: 无 - 漏洞系统影响指标: - 机密性: 无 - 完整性: 低 - 可用性: 无 - 后续系统影响指标: - 机密性: 无 - 完整性: 无 - 可用性: 无 修复方案 补丁: 该问题已在Kirby 4.9.0和Kirby 5.4.0中修复。请更新到这些版本或更高版本以修复漏洞。 补丁详情: 在所有提到的版本中,我们添加了额外的权限检查,用于在创建、替换或删除头像时检查 或 。这些权限检查适用于 、 和 权限。当头像被替换为同类型的文件时,Kirby现在一致地检查 权限,而不是 和 权限的组合。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。