漏洞概述 IDOR in Webhook Ping Endpoint Allows Enumeration and Cross-User Ping Triggering 漏洞类型: 不安全的直接对象引用(IDOR) 描述: 端点仅通过主键获取目标 webhook,未验证 webhook 是否属于认证用户。任何认证用户都可以提供任意 来确认 webhook 的存在、泄露 webhook 的 OAuth 提供商类型,并在某些情况下触发另一用户的 ping 交付。 影响范围 受影响版本: 修复版本: CVSS 评分: 5.4 / 10 攻击向量: 网络 攻击复杂度: 低 所需权限: 低 用户交互: 无 范围: 未改变 机密性: 低 完整性: 低 可用性: 无 修复方案 修复版本: 修复内容: 在 函数中添加所有权检查,确保 webhook 属于认证用户。 POC 代码 影响 任何认证 AutoGPT 平台用户都受到影响。攻击者可以使用有效账户执行以下操作: 1. 枚举 webhooks - 区分 HTTP 404(未找到)和 200/500(存在)以确认 webhook 所有权。 2. 泄露 OAuth 提供商类型 - 通过 HTTP 500 错误消息由提供商(GitHub 引发 ValueError,其他引发 NotImplementedError)揭示 OAuth 服务是否拥有受害者的 webhook。 3. 触发未请求的 ping 交付 - 对于 在没有凭据的情况下成功的情况,攻击者会在受害者的注册端点造成虚假 webhook 事件。