关键信息提取 漏洞概述 漏洞名称: Unauthorized Dictionary Management Leading to System-Wide Search Manipulation CVE ID: CWE-862, CWE-284, CWE-78, OWASP Top 10 2021 - A01:2021 漏洞类型: Missing Authorization, Improper Access Control, Broken Access Control 漏洞细节 受影响文件: 漏洞成因: - Missing Authorization: 任何用户可以执行CRUD操作在系统搜索词典上。 - Improper Access Control: 代码没有对操作进行任何权限检查。 安全问题 1. 无认证需求: 没有任何认证检查。 2. 系统范围的影响: 影响所有用户的搜索结果。 3. 文件系统操作: 每个操作涉及到文件系统写入。 4. 输入验证不足: 字典添加方法不检查输入。 5. 无速率限制: 允许攻击者通过词典操作淹没系统。 影响 搜索结果操纵 拒绝服务(DoS) 内容注入 商业智能泄露 合规性违规 受影响的端点 ( ) ( ) ( ) ( ) 修复建议 1. 即时修复: 为所有端点添加适当的授权检查。 2. 增强输入验证: 创建专用验证器防止非法输入。 上述信息来自于对截图内容的直接分析。