漏洞概述 在 项目中,存在一个未授权写入访问漏洞,具体涉及 端点。该漏洞允许未经身份验证的请求写入项目配置记录。 影响范围 漏洞端点: 、 和 影响:未经身份验证的攻击者可以: 1. 使用任何 调用上述端点。 2. 将默认项目模板中的默认到期日期记录注入到目标项目中。 3. 阻止合法的项目管理员后续使用相同的 端点(端点返回业务错误,因为记录已存在)。 修复方案 在每个 操作的开头添加 ,并在 、 和 中定义相应的 属性。 POC 代码 响应示例 总结 该漏洞允许未经身份验证的用户通过调用特定的 端点,向项目中注入默认的到期日期记录,从而影响项目的正常配置和管理。修复方案需要在相关权限类中添加适当的权限检查。