【BUG】动态字段接口存在垂直越权安全漏洞

**用文字描述你遇到的问题**

攻击者在获得低权限用户帐户后，可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的高权限功能
http://xxxxx/o/bk_user_manage/setting

**重现方法**

编辑字段
![image](https://github.com/TencentBlueKing/bk-user/assets/49228807/faac1071-a7f9-4159-b505-67abb0a62c9c)

抓取数据包，遍历参数可进行越权访问其他字段的信息：
![image](https://github.com/TencentBlueKing/bk-user/assets/49228807/ef6732de-2ae2-4dc9-988f-00a618b2cb91)
![image](https://github.com/TencentBlueKing/bk-user/assets/49228807/7d61c168-14a8-4bac-bc6e-295f93dad655)



**预期行为**
以上行为失效

**版本**
- 提供用户管理的具体版本号
2.4.2
- 是否是企业版问题？

**如果是 SaaS 页面问题，请提供使用的操作系统和浏览器信息**
 - OS: [e.g. iOS]
 - Browser [e.g. chrome, safari]
 - Version [e.g. 22]

**额外信息**

任何你觉得有助于问题解决的内容


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

【BUG】动态字段接口存在垂直越权安全漏洞 #1148

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

【BUG】动态字段接口存在垂直越权安全漏洞 #1148

Description

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions