SysUserController.java:getUserForm函数未进行权限检查，可能导致通过输入用户id直接访问其他用户信息

作者您好，我们在复现该代码时似乎发现了一些权限漏洞，麻烦您可以帮忙确认下是否存在
**问题描述**
在SysUserController.java中的getUserForm函数及其callee"getUserFormData"函数未对当前用户进行权限检查，可能导致当前用户通过直接输入其他用户id的方式访问他人信息：
```
@Operation(summary = "用户表单数据")
    @GetMapping("/{userId}/form")
    public Result<UserForm> getUserForm(
            @Parameter(description = "用户ID") @PathVariable Long userId
    ) {
        UserForm formData = userService.getUserFormData(userId);
        return Result.success(formData);
    }

@Override
    public UserForm getUserFormData(Long userId) {
        UserFormBO userFormBO = this.baseMapper.getUserDetail(userId);
        // 实体转换po->form
        return userConverter.bo2Form(userFormBO);
    }
```
 **复现漏洞** 
在接口文档上进行测试可以复现出该漏洞,具体复现如下：
首先创建一个普通用户612test，角色为访问游客：
![输入图片说明](https://foruda.gitee.com/images/1750038133628851270/adb4e513_10464235.png "屏幕截图")
随后在接口文档中登录该用户，并获取其accessToken：
![输入图片说明](https://foruda.gitee.com/images/1750038241696481158/b5c63978_10464235.png "屏幕截图")
使用获取当前用户信息接口测试一下token信息是否对应着612test，测试结果确实为612test：
![](https://foruda.gitee.com/images/1750038366331289656/56f899e4_10464235.png "屏幕截图")
随后利用该token测试获取用户表单数据接口，尝试通过改变userid来访问其他用户数据：
![输入图片说明](https://foruda.gitee.com/images/1750038480494946063/6988b039_10464235.png "屏幕截图")
发现是可以的：
![输入图片说明](https://foruda.gitee.com/images/1750038504972745454/04f542c5_10464235.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1750038528780170978/ada9bdf6_10464235.png "屏幕截图")
**修复建议**
建议添加相关权限检查：
```
this.getOne(new LambdaQueryWrapper<SysUser>()
.eq(SysUser::getUsername, SecurityUtils.getUsername())
```
在获取用户信息之前，验证用户身份并确保当前用户与需要获取信息的目标用户相同

有来开源/youlai-boot

内容风险标识

评论 (0)

有来开源/youlai-boot .gitee-modal { width: 500px !important; }

内容风险标识