设备环境:pve虚拟机
BUG现象:可以越权查看其它目录的视频封面。复现方式
我已经在fnos上设置了飞牛影视的权限只有对 储存空间1/movies 目录的读写权限
但是我在飞牛影视页面新增媒体库,路径选择 储存空间1/Photos (通过抓包将储存空间1/movies改为储存空间1/Photos)是可以新增成功的(说明新增接口没有做对目录权限的判断),然后就会扫描媒体库,将我的所有备份照片中的视频生成海报(说明刮削的程序权限是root权限),可以直接看到。虽然看不了视频(提示权限不足,可能读取视频的程序是有权限控制的),但是海报也泄露了隐私信息。希望可以在对软件做权限控制时将这个软件通过低权限账户运行,通过linux系统的权限控制来保障安全。不知道是不是只有官方的飞牛影视有这个问题,如果其它程序也可以有越权行为的话那对程序设置目录访问权限就没有意义了
出现频率:必现
联系方式:飞牛fnOS粉丝群540-派大星
日志文件:
2025-7-23 11:44:42
2025-7-25 18:56:42