漏洞报告 #3303136 - 被移除管理员的邀请仍然有效
摘要
当管理员(A)邀请另一个用户(B)并授予管理员权限后,移除邀请者(A)不会使B的待处理邀请失效。此外,如果B已经接受了邀请,B将继续保留在团队中并拥有管理员权限。这可能导致在原邀请者被移除后,出现未经授权的管理员访问。
重现步骤
- 邀请用户(A)加入团队并授予管理员权限
- A接受邀请成为管理员
- A邀请另一个用户(B)加入团队并授予管理员权限
- 从团队中移除用户A
- 观察结果:
- 如果B尚未接受邀请,该邀请仍然有效
- 如果B已经接受了邀请,B继续保留在团队中并拥有管理员权限
期望行为
- 被移除管理员创建的待处理邀请应该变为无效
- 已被移除管理员添加的成员应该根据平台策略进行自动审查或移除
实际行为
- 待处理邀请仍然有效并可被接受
- 已接受邀请的成员继续保留在团队中并拥有管理员权限
影响
- 未经授权的用户可能在邀请者被移除后获得管理员访问权限
- 违反最小权限原则并可能导致权限提升
- 安全审计和合规性问题,因为被移除的管理员无法完全撤销其影响
时间线记录
2025年8月18日,上午8:31 UTC
- mantu1738 向Omise提交报告
2025年8月27日,上午3:47 UTC
- mantu1738 发表评论询问更新
2025年9月2日,上午5:09 UTC
- hardymansen(Omise员工)关闭报告并将状态改为"已解决"
- 回应称这是设计行为,邀请在发出时是有效的,即使原用户被移除,邀请仍应被兑现
2025年9月2日,上午6:19 UTC
- mantu1738 强调这确实是一个安全问题,违反最小权限原则
2025年9月8日,上午3:51 UTC
- mantu1738 请求披露此报告
2025年9月8日,上午4:06 UTC
- Omise决定此报告不符合赏金资格
2025年9月8日,上午4:08 UTC
- hardymansen 再次回应,认为管理员有权创建新用户账户,这是其完整权限的一部分
2025年10月8日,上午3:51 UTC
- 报告被披露
报告详情
- 报告ID: #3303136
- 严重程度: 高(7.8)
- 弱点类型: 权限提升
- 赏金: 无
- CVE ID: 无