关键信息摘要 标题 漏洞名称: Missing Authorization Checks on Student Management Endpoints (IDOR) 关键参数 CVE ID: CVE-2026-25806 受影响的版本: 1.0.0 严重性: Critical 受影响组件 文件: backend/src/routes/student.routes.ts 路线: - GET /api/students/:email - PUT /api/students/:email/status - DELETE /api/students/:email 行数: 66-85, 134-165, 169-185 根因分析 问题: 学生管理路由仅通过 执行验证,未执行授权。 结果: 应用程序不验证被访问的学生记录的所有者,具有管理角色的用户或可以修改删除目标学生的用户。 安全影响 IDOR (Insecure Direct Object Reference) 未经授权的数据访问: 任何已验证用户可以查看任何学生数据 未经授权的修改: 任何用户可以修改学生状态 未经授权的删除: 任何用户可以删除学生账户 隐私违规: 敏感信息(如邮箱和私人数据)的暴露 权限提升: 学生可以在执行员工级别操作 修复建议 实现基于角色的授权中间件 强制执行对象级别所有权检查 仅限制管理员角色进行删除和状态更新操作 添加所有学生访问和修改的审核日志