关键信息 漏洞标题: Invite Token Lifecycle Misconfiguration in OpenObserve 漏洞严重性: High CVE ID: CVE-2025-66223 受影响版本: 已修复版本: 描述 组织邀请令牌问题: 一旦发出不会过期。 即使用户被移除也会保持有效。 允许同一电子邮件发送多个不同角色的邀请,且所有发放的链接同时有效。 影响/攻击场景: 权限提升: 攻击者以管理员和用户身份被邀请并接受用户邀请,之后利用旧的管理员邀请链接再次以管理员身份加入。 移除后的持久性: 组织管理员移除攻击者后,攻击者仍可使用旧邀请链接未经许可地重新加入组织。 概念验证 (PoC): 1. 作为组织管理员,两次邀请victm@example.com:一次作为管理员,一次作为用户。 2. 受害者接受用户邀请,以用户身份加入。 3. 组织管理员随后移除受害者。 4. 受害者重用旧的管理员邀请链接(已发送但未使用)。 5. 受害者成功以管理员身份重新加入组织,即使已移除。 期望行为: 邀请令牌应在首次使用后过期。 发出新邀请时,旧令牌应无效。 用户离开或被移除时,令牌应被撤销。 令牌应有较短的有效期(如24-72小时),以降低风险。 安全风险: 这是一个高严重性的逻辑漏洞,因为它: 允许权限提升(用户→管理员)。 允许移除后未经授权的重新进入。 损坏平台的访问控制和用户管理保证。 建议: 在发出新邀请时使所有先前的邀请令牌无效。 在首次使用后或在设定的TTL后使令牌过期。 当用户被移除时,撤销所有未使用的令牌。