关键信息 漏洞概述 漏洞类型: 未授权用户可以读取默认管理员用户的订阅源和标签信息。 CVE ID: CVE-2023-54591 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 权限要求: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 严重性: 7.5/10 影响版本与修复版本 受影响版本: <= 1.26.3 已修复版本: 1.27.0 漏洞细节 问题描述: 由于在某些与标签和订阅源相关的端点中缺少对 的访问检查,导致未授权用户可以读取默认管理员用户的订阅源和标签信息。 示例代码: 影响范围 具体功能: - : 允许查看标签的名称和填充操作。 - : 返回所有订阅源ID/名称(仅在最近未更新时)。 - : 显示订阅源和标签的未读文章数量。 PoC (概念验证) 提供了几个URL示例,用于演示如何利用该漏洞获取信息。 解决方案 临时解决方法: 创建一个新的独立管理员用户,并将其设置为 中的默认用户。 修复补丁: #7768 影响 泄露了实例管理员订阅的订阅源信息、创建的标签以及未读项目数量。