关键信息 漏洞类型:IDOR(Insecure Direct Object References)在集合项目管理中。 影响范围:ClipBucket v5.5.3 = 版本 #59。 严重性:高。 CVE ID:CVE-2026-28354。 弱点类型: - CWE-639: Authorization(无授权) - CWE-863: Incorrect Authorization(错误授权) 漏洞描述 总结: - 集合项目操作由于授权检查不足,使得普通认证用户能够修改其他用户的集合项目。 - 这影响了以下操作: - 添加项目:在 文件中,由于缺少授权检查。 - 删除项目:在 文件中, 时,由于在 方法中存在所有权检查问题。 - 结果,攻击者可以在自己不拥有的集合中插入和删除项目。 复现步骤 1. 以普通用户身份登录。 2. 导航到 。 3. 创建集合,并设置“公共上传 = 禁止其他用户添加项目”。 4. 其他用户无法向该集合添加项目。 5. 使用CLI登录。 6. 发送添加项目的payload。 7. 其他用户可以向集合添加项目。 8. 其他用户也可以删除项目。 影响 拥有普通账户的攻击者可以: - 向受害者的集合中添加任意项目(即使设置了禁止公共添加)。 - 从受害者的集合中移除现有项目。 这是用户拥有内容和集合访问策略的完整性违规。