关键信息提取 漏洞标题: moxi159753 mogu_blog_v2 <=v5.2 Broken Access Control / Missing Authorization 漏洞描述: -受影响的产品: mogu_blog_v2, 一个基于微服务的博客系统 -具体问题: 在存储管理端点/storage/initStorageSize和/storage/editStorageSize中存在访问控制漏洞。Spring Security配置允许对/storage/端点的未授权访问,并且控制器方法将adminUid作为客户端控制的请求参数接受,未进行身份验证或授权检查。 -漏洞影响: 服务层直接基于提供的adminUid值查询和修改数据库中的存储配额记录,允许未授权攻击者通过设置maxStorageSize为零(导致服务拒绝)或设置为非常大的值(启用未经授权的存储扩展和潜在的资源耗尽)来任意操纵任何管理员帐户的存储配额。此漏洞完全绕过了存储配额管理,可能导致服务中断和业务逻辑滥用。 漏洞来源:  提交用户: sh7err04 (UID 92493) 提交日期: 11/10/2025 02:31 PM 审核日期: 11/30/2025 08:51 PM 状态: 已接受 VulDB条目: 333822 [moxi159753 Mogu Blog v2 up to 5.2 Storage Management Endpoint /storage/ authorization] 评分**: 20