漏洞概述

项目： Opto22 Groov EPIC

受影响版本： 所有早于 4.0.3 的版本

已修复版本： 4.0.3

漏洞影响

View Users API 端点会返回所有用户及其相关元数据的列表——其中包括网络 API 令牌。访问此端点需要具备编辑者角色，但它会显示所有用户的 API 密钥，包括系统全局管理员的密钥。

漏洞描述

发现了一个 RBAC（基于角色的访问控制）权限提升问题，允许具有编辑者角色的恶意用户通过泄露目标网络 API 令牌，将其权限提升至管理员级别。

漏洞识别与修复

此问题是在一次红队 X 评估中发现的，并在 CVE-2025-13084 中披露。此问题现已被解决，并为客户提供了修复方案。

漏洞严重性

等级： 高危

CVSS 总体评分： 7.6 (高分 10 分)

CVSS v3 基础指标

• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 低
• 用户交互： 无
• 影响范围： 未改变
• 机密性影响： 高
• 完整性影响： 低
• 可用性影响： 低

向量字符串： CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

CVE 编号

• CVE-2025-13084

致谢

• tsytsarkin (发现者)
• ismai1337 (发现者)