CVE-2025-65030CVE-2025-65030是Rallly开源日程协作工具中的一个高危安全漏洞。该漏洞存在于评论删除API接口中,由于缺乏适当的授权验证机制,任何已认证用户都可以通过提供目标评论ID来删除系统中任意其他用户的评论内容,包括投票所有者和管理员发布的评论。攻击者只需知道目标评论的ID即可执行删除操作,无需任何特殊权限或管理员 privileges。漏洞影响版本为4.5.4之前的所有Rallly部署实例,CVSS评分7.1,属于高危级别。此类授权缺陷可被恶意用户利用来骚扰其他用户、破坏协作数据完整性,或进行信息删除以掩盖恶意活动。漏洞已于2025年11月19日披露并发布4.5.4版本修复。
Rallly的评论删除功能通过一个REST API端点实现,该端点接收评论ID作为参数进行删除操作。漏洞根源在于API仅验证用户是否已登录(认证),但未验证用户是否拥有该评论或具有删除权限。攻击流程如下:1)攻击者注册账号并登录系统;2)攻击者通过API或前端获取目标评论的ID(可通过浏览投票页面或API枚举);3)攻击者向删除API发送包含目标评论ID的请求;4)服务器直接删除该评论,不检查所有权。修复后的版本4.5.4增加了服务端权限验证逻辑,确保只有评论所有者、投票管理员或系统管理员才能执行删除操作。建议在API层面实现基于会话的权限检查,并在数据库操作前进行二次验证。