关键漏洞信息 漏洞概述 CVE编号: CVE-2025-60427 产品: LibreTime 受影响版本: 3.0.0-alpha.10 及可能更早版本 组件: Analytics模块 - Web UI 和 API 端点处理分析数据 CWE类型: CWE-284 - 不当访问控制 影响 主要影响: 信息泄露(全站分析和指标暴露给未经授权的用户) 后果: 隐私泄露、操作侦察,以及后续有针对性的攻击或滥用(例如,识别高价值时间、听众数量、电台标识符) 严重程度: 中等 CVSS v3.1评分: 4.9–5.8 (中等) 攻击细节 攻击类型: 远程(需要经过身份验证的DJ账户) 攻击方式: 认证后的DJ角色用户可以调用分析API端点(或使用Web UI分析视图)并获取全站范围的指标,因为服务器没有验证请求的角色是否有权访问这些资源。 示例目标: /api/analytics/overview, /api/metrics/station/, 或其他与分析相关的端点。 缓解措施 RBAC服务器端检查: 在分析端点上添加显式的角色检查,确保只有管理员/经理角色可以检索全站范围的指标。 最小权限原则: 限制DJ角色的能力,仅限于DJ特定的操作(播放、上传,有限的状态只关于他们自己的节目,如果需要的话)。 适当状态码返回: 端点应返回403 Forbidden对于未授权的角色,而不是带有数据的200。 自动化测试: 添加单元和集成测试,确保DJ账户不能访问admin/analytics端点(期望403)。 审计日志: 记录访问分析端点的尝试(用户、角色、时间戳),以便监控和取证。 文档记录**: 清晰地记录角色能力和端点权限,以减少回归。 发现者 Beatriz Fresno Naumova (beafn28)