关键漏洞信息 漏洞标题 Unauthenticated Badge Template API Access 严重性 Critical CVSS v3 base metrics: 9.4/10 影响版本 Affected versions: v2.0.0 - v2.3.1 Patched versions: v2.3.2 描述 API端点 (GET) 和 (POST) 允许未授权访问。 潜在风险: - 检索所有徽章模板和敏感元数据(createdBy, createdAt, updatedAt) - 在数据库中创建任意徽章模板 影响 漏洞类型: 不当访问控制 / 破坏访问控制 (OWASP A01:2021) 受影响用户: 所有使用徽章模板的用户 影响: 攻击者可以读取敏感数据并注入任意模板,可能影响平台完整性和用户信任 修复措施 已修复版本: FlagForge v2.3.2 安全改进: GET, POST, UPDATE, DELETE 端点现在需要认证;授权检查确保只有管理员可以访问和修改徽章模板 解决方案 无可靠变通方法,用户应更新至v2.3.2或更高版本 参考资料 OWASP Top 10 2021 Broken Access Control CWE-284