### 漏洞概述 - **漏洞名称**: 未明确具体漏洞名称,但涉及多个安全相关的改进和修复。 - **漏洞描述**: - **邀请令牌验证**: 在 `/invited` 路由及相关邀请/注册流程中添加了邀请令牌检查。 - **访问控制细化**: 调整了角色和查询构建器访问权限,使项目管理员能够正确操作标记数据集。 - **标记数据集编辑限制**: 防止项目访问用户从超出其允许范围的数据集中编辑标记数据集。 - **报告访问加固**: 阻止同一团队的用户通过猜测报告名称访问他们无权访问的报告。 - **共享策略刷新保护**: 确保 `allowReportRefresh` 不会绕过共享策略令牌或报告密码。 - **共享策略权限**: 防止团队成员编辑他们无权访问的项目的共享策略。 - **隐藏图表保护**: 修复了一个问题,即如果已知图表 ID,公共报告中的隐藏图表仍可能被访问。 ### 影响范围 - **影响用户**: 所有使用 Chartbrew v5 的用户,特别是涉及邀请、注册、数据集编辑、报告访问和共享策略管理的用户。 - **影响功能**: 邀请令牌验证、访问控制、数据集编辑、报告访问、共享策略管理等关键功能。 ### 修复方案 - **邀请令牌验证**: 在 `/invited` 路由及相关流程中添加了邀请令牌检查。 - **访问控制细化**: 调整了角色和查询构建器访问权限,确保项目管理员能够正确操作标记数据集。 - **标记数据集编辑限制**: 实施了限制,防止项目访问用户从超出其允许范围的数据集中编辑标记数据集。 - **报告访问加固**: 阻止同一团队的用户通过猜测报告名称访问他们无权访问的报告。 - **共享策略刷新保护**: 确保 `allowReportRefresh` 不会绕过共享策略令牌或报告密码。 - **共享策略权限**: 防止团队成员编辑他们无权访问的项目的共享策略。 - **隐藏图表保护**: 修复了隐藏图表在公共报告中仍可能被访问的问题。 ### POC代码或利用代码 - 页面中未包含具体的 POC 代码或利用代码。