漏洞概述 该漏洞涉及在公共资源中隐藏参会者电子邮件地址的问题。具体来说,公共检查-in列表URLs作为能力链接工作,任何人都可以通过URL访问公共检查-in参会者端点。虽然检查-in员工需要足够的信息来识别参会者并处理他们的票证,但返回电子邮件地址会增加隐私风险,因为链接可能被共享、记录、截图或以其他方式暴露。 影响范围 受影响资源:公共检查-in参会者资源 风险:返回的电子邮件地址可能被滥用,导致隐私泄露 修复方案 1. 移除电子邮件地址:从 中移除电子邮件地址,同时保持认证参会者资源的不变。 2. 添加单元测试:为公共响应形状添加一个聚焦的单元测试。 3. 验证步骤: - 运行以下命令进行验证: - 检查触摸的文件以查找常见的秘密泄露模式。 POC代码 总结 该修复方案通过移除公共资源中的电子邮件地址并添加相应的单元测试,有效减少了隐私泄露的风险。