关键漏洞信息 漏洞描述 漏洞类型: 未授权的匿名攻击者可以删除任意图像文件 受影响版本: <=3.4.7 修复版本: 3.4.8 严重性: 高 (7.5/10) 漏洞详情 易受攻击的端点: 问题: 应用程序在 端点处未检查身份验证,允许匿名攻击者(无需登录)通过定义 作为要删除的图像ID来删除任何图像文件。 攻击步骤 (PoC) 1. 登录并导航到 查看所有文件。 2. 发送以下请求删除文件ID : 影响 无需身份验证即可删除 端点处的所有文件。 CVSS v3 基本指标 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 作用范围: 不变 机密性影响: 无 完整性影响: 无 可用性影响: 高 弱点 CVE ID: CVE-2020-55171 弱点类型: CWE-287 (身份验证错误)