关键信息 版本和分支 版本: latest (commit 1f75257) 分支: master 问题描述 存在一个授权绕过漏洞,攻击者可以利用此漏洞访问 API 而无需任何令牌。 源代码分析 受影响的源代码类是 ,受影响的函数是 。在过滤器代码中,使用 获取请求路径,并确定 URI 是否以 开头但不以 或 开头。如果条件不满足,则执行 绕过拦截器;否则,将阻止当前请求并重定向到登录页面。 漏洞细节 虽然对原始 URL 路径进行了一些规范化处理(如 URL 解码、小写转换和斜杠折叠),但对斜杠的处理只是简单地截断路径,这会导致问题。攻击者可以通过使用类似 的路径来绕过访问限制。 示例 以后台接口 为例,使用 可以绕过 ,同时允许发布任何文章。 复现步骤 直接访问 将导致重定向到管理员登录页面。 然而,访问 将绕过身份验证检查并公开任意文章。 测试结果 测试分支为 ,使用以下 HTTP 请求进行测试,结果符合预期: