从这个网页截图中可以获取到以下关于漏洞的关键信息: CVE编号: CVE-2025-28403 漏洞描述: RUoYi v4.8.0版本中的 方法未正确验证请求用户是否具有管理权限,允许远程攻击者通过修改系统配置设置来提升权限。 漏洞类型: 不正确的访问控制(Incorrect Access Control) 产品供应商: yangzongzhuan 受影响的产品代码库: RUoYi - v4.8.0 (最新版本) 受影响的组件: 攻击类型: 远程 影响: 权限提升(Escalation of Privileges) 攻击向量: 1. 攻击者是RUoYi系统中的普通用户,可以访问 中的 方法。 2. 攻击者可以发送请求修改系统配置设置,而无需适当的管理权限。 3. 应用程序未正确执行授权检查,导致攻击者可以更改关键系统设置,引发垂直权限提升漏洞。 4. 这可能允许未经授权的用户修改安全配置、API密钥、启用/禁用系统功能或注入恶意配置,造成系统范围的安全风险。 参考链接: https://github.com/yangzongzhuan/RuoYi 厂商确认: 是 发现者: Haoran Zhao, Jinguo Yang, Lei Zhang, Secsys Lab, Fudan University 此外,还提供了漏洞的概念验证(PoC),展示了在 文件的第113行的 方法中,普通用户可以直接修改配置信息,成功地进行了修改。