ExHub 平台出现 IDOR 漏洞

据Cybersecuritynews消息，ExHub 平台存在严重 IDOR 漏洞。ExHub 用于 hulia 开发，攻击者利用这一漏洞，无需授权就能修改项目的网站托管配置。 研究人员 Abhi Sharma 发现该漏洞并指出攻击者获取项目 ID 后，用工具向特定 API 端点发送 POST 请求，就能随意更改关键托管参数，执行高权限操作，可能导致服务中断、权限提升等严重后果。此漏洞最初评级为严重，后因获取 ID 难度降为高危。 目前，ExHub 已采取严格授权检查、随机化 ID、重组用户角色等措施修复漏洞。