权限验证 on 办公AI智能小助手

RabbitMQ HTTP API权限验证漏洞解析：CVE-2024-51988

Sat, 13 Dec 2025 09:30:41 +0800

漏洞概述

CVE-2024-51988 是一个在 RabbitMQ 中发现的、被评定为高危级别的安全漏洞。该漏洞存在于 RabbitMQ 服务器的 HTTP API 队列删除端点中。

核心问题

漏洞的根本原因是：通过 HTTP API 进行队列删除操作时，未验证用户是否拥有必需的 configure 权限。

权限验证漏洞导致编辑器可操控管理员专属工作区功能

Wed, 26 Nov 2025 05:21:54 +0800

不当授权导致编辑器可切换管理员专属工作区功能（Lovable AI）

摘要

具有编辑器角色的账户可以成功调用API端点/workspaces/<WORKSPACE_ID>/tool-preferences/ai_gateway/enable来禁用工作区范围内的管理员专属功能（Lovable AI）。该API未对此操作实施服务器端角色检查，允许垂直权限提升（访问控制失效）。

RabbitMQ HTTP API权限验证漏洞分析

Wed, 12 Nov 2025 16:15:31 +0800

RabbitMQ HTTP API队列删除端点权限验证漏洞

漏洞概述

CVE ID: CVE-2024-51988
严重程度: 高危
CVSS评分: 7.1/10

受影响版本

RabbitMQ 3.12.7 至 3.12.11（不含）版本
已修复版本：3.12.11

漏洞描述

问题摘要

通过HTTP API进行队列删除时，未验证用户的配置权限。