https://blog.qife122.com/tags/%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87/ Recent content in 策略绕过 on 办公AI智能小助手 Hugo zh-cn qife Tue, 09 Dec 2025 02:11:55 +0800 https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Tue, 09 Dec 2025 02:11:55 +0800 https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2024-49756ashpostgres-中的空原子更新操作策略绕过漏洞">CVE-2024-49756：AshPostgres 中的空原子更新操作策略绕过漏洞</h1> <h2 id="概述">概述</h2> <p>在 <code>AshPostgres</code> 中存在一个漏洞，该漏洞允许在特定情况下绕过更新操作的安全策略，从而执行本应被阻止的副作用（Side-effects）。</p> https://blog.qife122.com/p/ashpostgres-%E9%9D%9E%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E4%B8%8E%E4%BE%A7%E6%95%88%E5%BA%94%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Mon, 08 Dec 2025 06:43:35 +0800 https://blog.qife122.com/p/ashpostgres-%E9%9D%9E%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E4%B8%8E%E4%BE%A7%E6%95%88%E5%BA%94%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h2 id="漏洞概述">漏洞概述</h2> <p>CVE-2024-49756 是一个影响 AshPostgres 库的中等严重性安全漏洞。该漏洞存在于 AshPostgres 2.0.0 至 2.4.9 版本中，可能导致在特定配置下，更新操作的授权策略被意外绕过，从而允许未经授权的侧效应（side-effects）执行。</p> https://blog.qife122.com/p/ashpostgres-%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E4%B8%AD%E7%9A%84%E5%89%AF%E4%BD%9C%E7%94%A8%E9%A3%8E%E9%99%A9/ Wed, 03 Dec 2025 10:20:29 +0800 https://blog.qife122.com/p/ashpostgres-%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E4%B8%AD%E7%9A%84%E5%89%AF%E4%BD%9C%E7%94%A8%E9%A3%8E%E9%99%A9/ <h1 id="ashpostgres-空原子非批量操作中的策略绕过漏洞-cve-2024-49756">AshPostgres 空原子非批量操作中的策略绕过漏洞 (CVE-2024-49756)</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>此漏洞存在于 AshPostgres 中，涉及在特定情况下可能跳过更新操作的策略检查。这仅发生在“空”更新操作（没有更改任何字段）中，并会允许其钩子（副作用）在不应该执行时被执行。需要注意的是，这<strong>不会</strong>允许读取用户不应有权访问的新数据，<strong>只会</strong>触发用户本不应能够触发的副作用。</p> https://blog.qife122.com/p/ashpostgres%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E7%A9%BA%E5%8E%9F%E5%AD%90%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ Fri, 31 Oct 2025 15:03:50 +0800 https://blog.qife122.com/p/ashpostgres%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E7%A9%BA%E5%8E%9F%E5%AD%90%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ <h1 id="cve-2024-49756ashpostgres空原子更新操作策略绕过漏洞">CVE-2024-49756：AshPostgres空原子更新操作策略绕过漏洞</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在AshPostgres特定场景下，存在策略绕过漏洞，允许在空更新操作中绕过策略检查执行副作用。该漏洞仅影响&quot;空&quot;更新操作（无字段变更），会允许其钩子（副作用）在不应执行时被执行。</p>