漏洞概述 标题: IDOR via Delimiter Injection allows Session Renaming of any user 描述: 一个不安全的直接对象引用(IDOR)漏洞存在于AstroBot的WebChat会话处理中。任何经过身份验证的用户都可以注入分隔符字符( )到他们的 中,以欺骗服务器将他们的操作与另一个用户的会话关联起来。这允许攻击者任意重命名任何其他用户的会话显示标题,影响数据完整性和用户隔离。 影响范围 生态系统: Python 包名称: AstroBot 受影响版本: <= v4.24.2 修复版本: 未提供 修复方案 补丁版本: 未提供 利用代码 日志证据 影响 这是一个不安全的直接对象引用(IDOR)漏洞,导致未经授权的会话标题修改。任何经过身份验证的攻击者都可以覆盖平台上任何用户的会话标题。这影响数据完整性,可能导致用户之间的混淆,破坏审计,并中断依赖会话元数据的下游自动化流程。 弱点 CWE: CWE-639: 通过用户控制的键绕过授权 发生情况 永久链接: https://github.com/AstroBotDevs/AstroBot/blob/67c7445d253846c232477a1ebcb2823a522e029c/astrobot/core/astro_main_agent.py#L925