以下是该网页截图中关于漏洞的关键信息,以简洁的markdown格式呈现: 漏洞信息 漏洞标题: Cross-album password propagation on Album unlocking CVSS评分 (v4.0): 2.3/10 CVE ID: CVE-2026-22784 受影响的版本: <= 7.0.1 已修复的版本: 7.1.0 报告人: chakradhar1228 修复开发者: ildyria 分析员: d7415 漏洞描述 概要: - 当用户解锁一个受密码保护的公共相册时,系统会自动解锁所有共享相同密码的其他公共相册,导致授权绕过。 - 该问题源于密码传播逻辑中缺少授权检查,设计初衷是为了方便在多用户环境下解锁多个相册。 - 漏洞已在不同用户账户间双向传播进行了成功测试和确认,展示出明显的隐私和安全漏洞。 受影响组件: - 文件: - 方法: - API端点: 根因分析 漏洞是由于在多用户设置中,开发者在授权模型上的疏忽。他们没有考虑到不同相册可能被多个用户共享相同的密码,导致授权控制漏洞。 影响 保密性: 低 - 攻击者可以获得未经授权访问其他用户受密码保护相册中的私人照片和内容,但访问范围有限。 完整性: 无 - 攻击者无法修改、删除或上传内容至其他用户的相册。 可用性: 无 - 漏洞不影响系统可用性,相册及其内容仍对其合法所有者保持可访问。 修复措施 使传播机制可选,并默认禁用。