漏洞报告 #3303136 - 移除邀请者后待处理邀请仍然有效
摘要
当管理员(A)邀请另一个用户(B)并授予管理员权限后,移除邀请者(A)不会使B的待处理邀请失效。此外,如果B已经接受了邀请,B将继续保留在团队中并拥有管理员权限。这可能导致在原邀请者被移除后,出现未经授权的管理员访问。
复现步骤
- 邀请用户(A)加入团队并授予管理员权限
- A接受邀请成为管理员
- A邀请另一个用户(B)加入团队并授予管理员权限
- 将用户A从团队中移除
- 观察结果:
- 如果B尚未接受邀请,该邀请仍然有效
- 如果B已经接受了邀请,B继续保留在团队中并拥有管理员权限
期望行为
- 被移除管理员创建的待处理邀请应该失效
- 已被移除管理员添加的成员应该被自动审查或移除,具体取决于平台策略
实际行为
- 待处理邀请仍然有效并可被接受
- 已接受邀请的成员继续保留在团队中并拥有管理员权限
影响
- 在邀请者被移除后,未经授权的用户可能获得管理员访问权限
- 违反最小权限原则并可能导致权限提升
- 安全审计和合规性问题,因为被移除的管理员无法完全撤销其影响
时间线记录
2025年8月18日 - mantu1738向Omise提交报告
2025年8月27日 - mantu1738跟进询问更新
2025年9月2日 - hardymansen(Omise员工)关闭报告并将状态改为"已解决",认为这是设计行为
2025年9月2日 - mantu1738强调这确实是一个安全问题,违反最小权限原则
2025年9月8日 - mantu1738请求披露此报告
2025年9月8日 - Omise决定此报告不符合赏金资格
2025年10月8日 - 报告被公开披露
报告详情
- 报告ID: #3303136
- 状态: 已解决
- 严重程度: 高 (7.8)
- 弱点类型: 权限提升
- 赏金: 无
- CVE ID: 无