漏洞概述 该漏洞涉及在 tagging controller 和 floatingip policy 中使用的策略名称不一致的问题。具体来说, 和 方法强制使用复数形式的策略名称(例如 ),而不是单数形式的策略名称(例如 )。由于注册策略规则使用单数形式,未匹配的复数名称会回退到 的默认规则,允许项目读者对同项目资源进行标签修改。 影响范围 受影响组件: 、 、 影响功能:标签管理功能,特别是 和 操作。 潜在风险:未经授权的项目读者可能修改同项目资源的标签,导致安全漏洞。 修复方案 1. 策略名称修正:将 策略规则名称改为单数形式 。 2. 单元测试:添加单元测试以验证 为所有支持的资源和操作生成正确的单数形式,并确保每个生成的名称匹配实际注册的策略规则。 代码块 总结 该漏洞通过修正策略名称和添加单元测试来解决,确保策略规则的一致性和安全性。