Missing Authorization on Admin Write Endpoints Allows RBAC Bypass in CtrlPanel-gg/panel

漏洞总结：Missing Authorization on Admin Write Endpoints Allows RBAC Bypass 漏洞概述 该漏洞存在于 项目中。多个管理员控制器在表单显示方法（ , ）中实现了权限检查，但在对应的写操作方法（ , ）中遗漏了等效检查。攻击者可以通过直接发送 POST/PATCH 请求绕过基于角色的访问控制（RBAC），完全跳过表单界面。 影响范围 受影响版本：<= 1.1.1 修复版本：1.2.0 CVSS 评分：8.1 / 10 (High) 具体受影响控制器及缺失权限： - : - : - : - : - : - : - : - : - : - : 暴露了接受任何请求的存根方法。 - : 允许缺乏 权限的用户触发管理员会话恢复。 影响后果 未经管理员写权限的认证攻击者可以： 创建和修改 API 凭证（获取持久未授权 API 访问权限）。 创建和修改折扣券和代金券（导致直接财务损失）。 创建和修改合作伙伴关系（任意佣金和折扣率）。 创建和修改商店产品及定价（修改价格、资源限制）。 修改用户账户（更新角色、密码等，实现完全权限提升）。 修改服务器记录（重新分配所有权）。 滥用会话恢复（干扰活跃的管理员会话）。 修复方案 在每个受影响的写操作方法（ 和 ）的开头添加权限检查，以镜像对应 和 方法中的检查。 代码修复示例 1. 对于具有单个写权限的控制器： 2. 对于更新需要多个权限之一的控制器（如 ServerController, UserController）： 3. 对于 ActivityLogController：存根方法现在明确中止并返回 403： 4. 确保每个修改状态的操作方法都有独立于 UI 流程的服务器端权限检查。 POC 代码 注：上述请求成功创建了优惠券，尽管调用者缺乏 权限。

目標達成すべての支援者に感謝 — 100%達成しました！

Missing Authorization on Admin Write Endpoints Allows RBAC Bypass in CtrlPanel-gg/panel

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Missing Authorization on Admin Write Endpoints Allows RBAC Bypass in CtrlPanel-gg/panel

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！