漏洞概述 漏洞名称: VULN-5 PoC 漏洞描述: 该漏洞涉及在低权限用户(无“其他设置”权限)的情况下,通过特定URL访问敏感文件。 影响范围 受影响用户: 低权限用户,特别是那些没有“其他设置”权限的用户。 受影响功能: 通过URL 访问敏感文件。 修复方案 权限管理: 确保低权限用户无法访问敏感文件,即使他们知道URL。 输入验证: 对URL参数进行严格验证,防止未授权访问。 POC代码 页面截图关键信息 步骤1: 以低权限用户登录,该用户没有“其他设置”权限。 步骤2: 导航到 。 权限列表 Call Deletion: 未勾选 Display Incoming Calls: 已勾选 Display Calls with Screen Recording: 已勾选 Changing segment protection: 未勾选 Edit Note: 已勾选 Other Settings: 已勾选(红色框标注) Recorded Calls: 已勾选 Display Nonrecorded Calls: 已勾选 Users and Roles: 未勾选 Auth: 已勾选 Export: 已勾选 Send Calls by Email: 未勾选 Recording Rules: 未勾选 Call List: 已勾选 Pause and Resume Calls: 已勾选 浏览器截图 URL: 响应: 显示一个空白页面,右上角有一个小窗口显示“Other Settings”选项。 总结 该漏洞允许低权限用户通过特定URL访问敏感文件,需通过权限管理和输入验证进行修复。