漏洞总结 漏洞概述 该提交修复了一个路由群组策略绕过漏洞。在 Google Chat 和 Zalo 扩展的访问控制逻辑中,当路由空间(routed space)配置了允许列表(allowlist)但没有明确的发送者允许列表时,系统错误地继承了父级空间的允许列表配置,导致未授权用户可能绕过群组访问控制。 影响范围 受影响组件: - - Google Chat 访问监控 - - Zalo 访问监控 具体场景:当 配置为空数组( )时,路由群组未能正确保留自身的允许列表策略,导致权限判断错误 修复方案 核心逻辑变更(以 为例): 关键修复点: 1. 新增条件判断:当 为真且 为空数组时,直接使用原始 而非解析后的策略 2. 防止空允许列表被错误地继承父级配置 3. 在 Zalo 扩展中同步添加 判断 测试用例(验证修复)