关键信息 漏洞类型 IDOR (Insecure Direct Object References) 影响范围 Package: wger (pip) 受影响的版本: <= 2.4 已修复的版本: 无 漏洞描述 概述: - 和 返回所有用户的重复配置数据,因为 方法没有通过认证用户进行过滤,而是返回了所有数据。 - 任何注册用户都可以枚举其他用户的锻炼结构。 细节: - 和 中的 方法使用 。 - 其他视图集如 正确地按用户进行过滤。 证明概念 (PoC) 使用任何注册用户的身份,调用 API 端点 和 ,可以获取所有用户的重复配置和最大重复配置数据。 影响 任何经过身份验证的用户都可以读取其他用户的重复和最大重复配置,暴露锻炼结构(插槽入口 ID、迭代值、操作、步数、重复标志、需求 JSON)。 这是一个破坏对象级授权 (BOLA/IDOR) 的漏洞,与 OWASP API1 属于同一类问题。 修复方法 在 方法中添加与用户相关的过滤器。 CVSS 评级 严重性: 中等 (4.3/10) CVSS v3 基础指标: 攻击向量: 网络; 攻击复杂性: 低; 所需权限: 低; 用户交互: 无; 范围: 不变; 机密性: 低; 完整性: 无; 可用性: 无 CWE ID CWE-639: IDOR (Insecure Direct Object References) 报告人 ByamB4