关键信息 漏洞描述 漏洞类型: Broken Access Control (CWE-284) 受影响版本: Summer Pearl Group's Vacation Rental Management Platform versions ≤ 1.0.1 问题: 认证用户可以通过操纵请求参数(如owner或resource id)调用多个端点,对任意用户拥有的资源执行创建/更新/删除操作。这允许未经授权的数据操作,可能导致数据丢失、完整性违规和隐私泄露。 影响版本 漏洞端点 免责声明 该项目仅用于教育和道德研究目的。 未经授权在没有明确许可的系统上进行测试是非法的。 发现者 Alex Perrakis (Stolichnayer) 参考链接 Summer Pearl Group Vacation Rental Management Platform Release v1.0.2 Notes (Patch)