https://blog.qife122.com/tags/%E6%9D%83%E9%99%90%E6%BC%8F%E6%B4%9E/ Recent content in 权限漏洞 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 14:52:35 +0800 https://blog.qife122.com/p/kubernetes-windows%E8%8A%82%E7%82%B9%E5%AE%B9%E5%99%A8%E6%97%A5%E5%BF%97%E6%9D%83%E9%99%90%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ Mon, 12 Jan 2026 14:52:35 +0800 https://blog.qife122.com/p/kubernetes-windows%E8%8A%82%E7%82%B9%E5%AE%B9%E5%99%A8%E6%97%A5%E5%BF%97%E6%9D%83%E9%99%90%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ <h1 id="cve-2024-5321-windows容器日志权限错误">CVE-2024-5321: Windows容器日志权限错误</h1> <p><strong>CVSS评级</strong>：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N - 中危 (6.1)</p> https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90cve-2025-43523macos%E6%9D%83%E9%99%90%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E7%94%A8%E6%88%B7%E6%95%8F%E6%84%9F%E6%95%B0%E6%8D%AE%E9%9D%A2%E4%B8%B4%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9/ Sat, 13 Dec 2025 21:45:32 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90cve-2025-43523macos%E6%9D%83%E9%99%90%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E7%94%A8%E6%88%B7%E6%95%8F%E6%84%9F%E6%95%B0%E6%8D%AE%E9%9D%A2%E4%B8%B4%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-43523-应用程序可能访问苹果macos中的敏感用户数据">CVE-2025-43523: 应用程序可能访问苹果macOS中的敏感用户数据</h1> <p><strong>严重性：</strong> 未指定 <strong>类型：</strong> 漏洞</p> <h2 id="概述">概述</h2> <p>CVE-2025-43523是苹果macOS中识别出的一个安全漏洞，具体与权限问题相关，该问题允许应用程序在没有适当授权的情况下访问敏感用户数据。此问题已通过引入额外的限制在macOS Sequoia 15.7.3更新中得到修复。</p> https://blog.qife122.com/p/%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90%E7%BC%96%E8%BE%91%E5%99%A8%E6%9D%83%E9%99%90%E8%B6%8A%E6%9D%83%E6%93%8D%E4%BD%9C%E7%AE%A1%E7%90%86%E5%91%98%E5%B7%A5%E4%BD%9C%E5%8C%BA%E5%8A%9F%E8%83%BD/ Sun, 23 Nov 2025 18:37:27 +0800 https://blog.qife122.com/p/%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90%E7%BC%96%E8%BE%91%E5%99%A8%E6%9D%83%E9%99%90%E8%B6%8A%E6%9D%83%E6%93%8D%E4%BD%9C%E7%AE%A1%E7%90%86%E5%91%98%E5%B7%A5%E4%BD%9C%E5%8C%BA%E5%8A%9F%E8%83%BD/ <h1 id="授权不当导致编辑器可切换管理员专属工作区功能lovable云">授权不当导致编辑器可切换管理员专属工作区功能（Lovable云）</h1> <p><strong>时间线</strong></p> <ul> <li>d0maxploit 向 Lovable VDP 提交报告</li> <li>2025年10月5日 13:08 UTC</li> </ul> <h2 id="摘要">摘要</h2> <p>具有编辑器角色的账户可以成功调用API端点 <code>/workspaces/&lt;WORKSPACE_ID&gt;/tool-preferences/supabase/enable</code> 来禁用全工作区范围的管理员专属功能（Lovable云）。该API未对此操作实施服务器端角色检查，导致垂直权限提升（访问控制破坏）。</p> https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sat, 22 Nov 2025 13:20:52 +0800 https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="低权限用户可启用或禁用工作区新项目的lovable-ai功能">低权限用户可启用或禁用工作区新项目的Lovable AI功能</h1> <h2 id="漏洞报告概述">漏洞报告概述</h2> <p><strong>报告ID</strong>: #3369843<br> <strong>报告者</strong>: anxioussick<br> <strong>报告时间</strong>: 2025年10月3日 19:51 UTC<br> <strong>状态</strong>: 已解决<br> <strong>严重程度</strong>: 低 (0.1 ~ 3.9)<br> <strong>弱点类型</strong>: 权限配置不当</p> <h2 id="漏洞描述">漏洞描述</h2> <p>在lovable.dev平台上，存在权限配置不当漏洞，允许低权限用户为工作区中的新项目启用或禁用Lovable AI功能。</p> https://blog.qife122.com/p/lovable-ai%E6%9D%83%E9%99%90%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7%E5%B7%A5%E4%BD%9C%E5%8C%BAai%E8%AE%BE%E7%BD%AE/ Thu, 20 Nov 2025 06:02:56 +0800 https://blog.qife122.com/p/lovable-ai%E6%9D%83%E9%99%90%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7%E5%B7%A5%E4%BD%9C%E5%8C%BAai%E8%AE%BE%E7%BD%AE/ <h1 id="lovable-vdp--报告-3369843---低权限用户可启用或禁用工作区中新项目的lovable-ai">Lovable VDP | 报告 #3369843 - 低权限用户可启用或禁用工作区中新项目的Lovable AI</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在lovable.dev平台上，低权限用户能够启用或禁用工作区中新项目的Lovable AI功能。测试发现存在授权不当漏洞，允许低权限用户修改Lovable AI设置。</p> https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 12 Nov 2025 15:31:05 +0800 https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="低权限用户可启用或禁用lovable-ai工作区新项目设置--hackerone报告-3369843">低权限用户可启用或禁用Lovable AI工作区新项目设置 | HackerOne报告 #3369843</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在lovable.dev平台上，存在权限配置不当漏洞，允许低权限用户修改工作区中新项目的Lovable AI设置。</p> https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 12 Nov 2025 04:14:09 +0800 https://blog.qife122.com/p/%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%93%8D%E6%8E%A7lovable-ai%E8%AE%BE%E7%BD%AE%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="低权限用户可启用或禁用lovable-ai功能的安全漏洞报告">低权限用户可启用或禁用Lovable AI功能的安全漏洞报告</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在lovable.dev平台上，存在权限配置不当的安全漏洞，允许低权限用户修改工作区中新项目的Lovable AI设置。</p> https://blog.qife122.com/p/%E6%9D%83%E9%99%90%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E7%BC%96%E8%BE%91%E5%99%A8%E5%8F%AF%E6%93%8D%E6%8E%A7%E7%AE%A1%E7%90%86%E5%91%98%E4%B8%93%E5%B1%9E%E5%B7%A5%E4%BD%9C%E5%8C%BA%E5%8A%9F%E8%83%BD/ Fri, 07 Nov 2025 20:22:50 +0800 https://blog.qife122.com/p/%E6%9D%83%E9%99%90%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E7%BC%96%E8%BE%91%E5%99%A8%E5%8F%AF%E6%93%8D%E6%8E%A7%E7%AE%A1%E7%90%86%E5%91%98%E4%B8%93%E5%B1%9E%E5%B7%A5%E4%BD%9C%E5%8C%BA%E5%8A%9F%E8%83%BD/ <h1 id="报告-3371414---权限验证不当导致编辑器可切换管理员专属工作区功能lovable云">报告 #3371414 - 权限验证不当导致编辑器可切换管理员专属工作区功能（Lovable云）</h1> <p><strong>时间线</strong></p> <ul> <li>d0maxploit 向 Lovable VDP 提交报告</li> <li>2025年10月5日 下午1:08 UTC</li> </ul> <p><strong>摘要</strong> 具有编辑器角色的账户可成功调用API端点 <code>/workspaces/&lt;WORKSPACE_ID&gt;/tool-preferences/supabase/enable</code> 来禁用工作区范围的管理员专属功能（Lovable云）。该API未对此操作实施服务端角色检查，导致垂直权限提升（访问控制失效）。</p> https://blog.qife122.com/p/atlassian-confluence%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E8%AD%A6%E6%8A%A5cve-2023-22518%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sat, 25 Oct 2025 00:47:24 +0800 https://blog.qife122.com/p/atlassian-confluence%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E8%AD%A6%E6%8A%A5cve-2023-22518%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="漏洞警报---atlassian-confluence授权漏洞cve-2023-22518">漏洞警报 - Atlassian Confluence授权漏洞（CVE-2023-22518）</h1> <p><strong>发布于 2023年10月31日 | 服务与系统应用类别</strong></p> <h2 id="概述">概述</h2> <p>Atlassian Confluence中发现了一个可由未认证用户利用的授权漏洞，该漏洞被评定为&quot;极高&quot;严重等级。利用此漏洞可能导致重大数据丢失。Atlassian建议，如果无法立即安装补丁，应立刻将相关安装实例从互联网断开。</p>