漏洞报告 #3303136 - 被移除管理员发送的邀请仍保持有效
摘要
当管理员(A)邀请另一个用户(B)并授予管理员权限后,移除邀请者(A)不会使B的待处理邀请失效。此外,如果B已经接受了邀请,B将继续保留在团队中并拥有管理员权限。这可能导致在原邀请者被移除后,出现未经授权的管理员访问。
重现步骤
- 邀请用户(A)加入团队并授予管理员权限
- A接受邀请成为管理员
- A邀请另一个用户(B)加入团队并授予管理员权限
- 从团队中移除用户A
- 观察结果:
- 如果B尚未接受邀请,该邀请仍然有效
- 如果B已经接受了邀请,B将继续保留在团队中并拥有管理员权限
预期行为
- 被移除管理员创建的待处理邀请应该变为无效
- 已被移除管理员添加的成员应该根据平台策略进行重新审查或自动移除
实际行为
- 待处理邀请仍然有效且可以被接受
- 已接受邀请的成员继续保留在团队中并拥有管理员权限
影响
- 未经授权的用户可能在邀请者被移除后获得管理员访问权限
- 违反最小权限原则并可能导致权限提升
- 引发安全审计和合规性问题,因为被移除管理员无法完全撤销其影响
时间线记录
2025年8月18日,上午8:31 UTC
mantu1738向Omise提交报告
2025年8月27日,上午3:47 UTC
mantu1738发表评论跟进报告进展
2025年9月2日,上午5:09 UTC
hardymansen(Omise员工)关闭报告并将状态改为"已解决",认为这是设计行为
2025年9月2日,上午6:19 UTC
mantu1738强调这违反了最小权限原则,属于安全关切
2025年9月8日,上午3:51 UTC
mantu1738请求公开此报告
2025年9月8日,上午4:08 UTC
hardymansen重申这是设计行为,管理员有权创建新用户账户
2025年10月8日,上午3:51 UTC
报告被公开
报告详情
- 报告ID:#3303136
- 状态:已解决
- 严重程度:高(7.8)
- 弱点类型:权限提升
- 赏金:无
- CVE ID:无
