漏洞关键信息 漏洞类型: 缺少权限检查 文件: SysUserController.java 方法: authRole 问题描述: - 方法 中调用 时,没有进行权限检查。 - 攻击者只需知道用户ID,就能绕过权限控制访问用户详细信息,甚至可能包括管理员账号。 示例代码: 修复建议: - 在 文件中 方法对 进行相应的读操作时,需要加上相应的权限检查。 相关讨论 参与者: Han-tj, ruoyi 讨论内容: - Han-tj: 保存确实是有权限检查的,但这里的读操作不需要加权限检查吗?如果不需要权限检查,攻击者知道用户ID就能直接读取其他用户的信息吗? - 若依: 感谢提醒,已更新。