Weaviate = 1.38.0 参考链接: - Release Notes - Fix PR - Fix Commit 描述 Weaviate 在 1.38.0 版本之前,未验证执行 RBAC 角色分配的主体是否持有被分配角色授予的权限。 和 处理器仅验证调用者是否有权将角色分配给目标用户或组,而未验证被分配角色中的权限。这导致攻击者可以分配包含更高权限的角色,从而获得数据库的完全管理控制权。 参考链接 Release Notes Fix PR Fix Commit 贡献者 George Chen