水平越权（高危）/api/admin/common/adminLayerView?adminId=8&userName=

siteserver / cms

SS CMS 基于 .NET Core，能够以最低的成本、最少的人力投入在最短的时间内架设一个功能齐全、性能优异、规模庞大并易于维护的网站平台。

https://sscms.com

GNU Affero General Public License v3.0

3.64k stars 1.2k forks source link

Closed fsea closed 5 months ago

fsea commented 7 months ago

修改adminId可以查看任意管理员信息，存在水平越权漏洞

fsea commented 7 months ago

未授权管理员管理权限的账号可通过此接口查看任意管理员信息

starlying commented 7 months ago

收到，我们会尽快修复，谢谢反馈！

starlying commented 7 months ago

问题已修复。

gushutong9841 commented 5 months ago

如何修复这个问题？