JaySem
JaySem
### 重现步骤 1.新增PG实例: 输入实例名称、实例类型、数据类型PgSQL、实例连接ip地址、端口、只读用户名、密码、数据库名 2.点击测试 3.提示无法连接实例,FATAL:password authencication faild for user "archery_read" 在虚拟机上使用命令,确定密码是正确的。 ### 预期外的结果 ### 日志文本 _No response_ ### 版本 1.8.5 ### 部署方式 Docker ### 是否还有其他可以辅助定位问题的信息?比如数据库版本等 PG的数据库版本是13.4 archery版本:1.8.5
### 重现步骤 1.管理员未给A账号分配可查询权限申请记录 2.A账号不仅可以看到自己申请的查询权限记录,还可以通过修改域名的方式,越权查看B账号的查询权限申请记录 ### 预期外的结果 可以通过修改域名的方式......queryapplydetail/2/ 越权查看B账号的查询权限申请记录. 数字2可以随便改写 ### 日志文本 _No response_ ### 版本 1.9.1 ### 部署方式 Docker ### 是否还有其他可以辅助定位问题的信息?比如数据库版本等 _No response_
### 重现步骤 1.A账号登录后,开启2FA功能 2.用B账号可以关闭A账号的2FA功能 ### 预期外的结果 账号,可以越权修改其他账号的2FA功能,这是1个重大的漏洞 ### 日志文本 _No response_ ### 版本 1.9.1 ### 部署方式 Docker ### 是否还有其他可以辅助定位问题的信息?比如数据库版本等 _No response_
### 重现步骤 1.开启某个账号的TOTP 2.登出 3.重新登录 4.选择谷歌身份验证,并输入验证码 5.无法登录,弹出1个网页提示 ### 预期外的结果 无法登录,弹出1个网页提示  ### 日志文本 _No response_ ### 版本 1.9.1 ### 部署方式 Docker ### 是否还有其他可以辅助定位问题的信息?比如数据库版本等 _No response_