用户要求总结网页截图中关于漏洞的关键信息,格式为简洁的中文markdown。 需要提取的信息点: 1. 漏洞概述:这是什么类型的漏洞? 2. 影响范围:影响了什么功能或内容? 3. 修复方案:怎么解决? 4. POC/利用代码:如果有,提取出来。 分析截图内容: 标题/版本:BookStack v26.03.1 Release Type:Security Release (安全发布) 漏洞描述 (Security Release 下方段落): "This is a security release to address a vulnerability where page content, which should be hidden by permissions, could be visible during certain markdown exports." 翻译:这是一个安全发布,旨在解决一个漏洞,该漏洞导致本应通过权限隐藏的页面内容,在某些Markdown导出过程中可能会可见。 影响范围: "page content, which should be hidden by permissions" (受权限保护应隐藏的页面内容) "during certain markdown exports" (在某些Markdown导出过程中) 建议:"We strongly advise that you update your instance if you use permissions to control page visibility." (如果你使用权限来控制页面可见性,强烈建议更新实例。) 修复方案: 更新到 v26.03.1 版本。 具体修复细节在 "Full List of Changes" 中: "Updated queries used for pages in markdown exports." (更新了Markdown导出中用于页面的查询。) "Updated handling of filenames for file serving." (更新了文件服务中文件名的处理。) "Updated PHP package versions." (更新了PHP包版本。) POC/利用代码: 截图中没有包含任何代码块、POC或利用脚本。只有文字描述。 构建总结: 漏洞概述:BookStack 存在一个安全漏洞,导致本应通过权限设置隐藏的页面内容,在进行特定的 Markdown 导出时可能会泄露(可见)。 影响范围:使用权限控制页面可见性的 BookStack 实例,特别是在进行 Markdown 导出操作时。 修复方案: 升级 BookStack 到 v26.03.1 版本。 具体修复包括:更新了 Markdown 导出中用于页面的查询逻辑、更新了文件服务中文件名的处理方式、更新了 PHP 包版本。 POC/利用代码:截图中未包含相关代码。 最终格式化输出: 按照用户要求的简洁中文markdown格式输出。 漏洞关键信息总结 漏洞概述 BookStack 存在一个安全漏洞,导致本应通过权限设置隐藏的页面内容,在进行特定的 Markdown 导出操作时可能会泄露(变得可见)。 影响范围 受影响功能:Markdown 导出功能。 受影响对象:使用权限控制页面可见性的 BookStack 实例。如果未使用权限控制页面可见性,可能不受影响。 修复方案 升级版本:强烈建议将 BookStack 实例更新至 v26.03.1 版本。 具体修复内容: 更新了 Markdown 导出中用于页面的查询逻辑(Updated queries used for pages in markdown exports)。 更新了文件服务中文件名的处理方式(Updated handling of filenames for file serving)。 更新了 PHP 包版本(Updated PHP package versions)。 POC/利用代码 截图中未包含相关代码。