Skip to content

[Bug]: 空闲会话有效时间过长安全漏洞 #203

New issue
New issue
Open
Open
[Bug]: 空闲会话有效时间过长安全漏洞#203
Labels
bugSomething isn't working
@ChenJincheng-Gencent

Description

@ChenJincheng-Gencent
ChenJincheng-Gencent
opened on Mar 25, 2026

Bug Description

漏洞目标地址:
https://himarket.xxx.com/ https://himarket-admin.xxxx.com/ https://higress.xxx.com/

Steps to Reproduce

存在问题描述:
空闲会话有效时间过长

Expected Behavior

1、非如下特殊情况的应用系统,需自行实现登录失败功能,连续输入错误密码或短信/邮箱验证码5次后应将账户锁定10分钟: 1)对接了用户中心,以控股用户中心策略为准; 2)对接LDAP,以控股LDAP服务 AD策略为准。 2、非如下特殊情况的应用系统,需自行实现会话失效机制(超时)功能,依据业务情况,针对于一般、重要系统的普通功能,空闲会话超时时间不应超过30分钟。消费者核心、内部核心系统或一般、重要系统中涉及个人信息、支付、控车等敏感操作的,空闲会话超时时间不应超过15分钟: 1)对接了用户中心,以控股用户中心策略为准,若系统未直接使用用户中心Token作为身份凭据,则依据依据二级要求进行验证。 2)对接LDAP、系统自己的账号系统,依据二级要求进行验证。 2.1)APP、不含敏感数据的大屏、工控/物联网、安防监控/产线监控等系统不适用于该条目。 2.2)一些长会话的应用场景不适用于该条目,如大文件上传下载、视频播放功能、直播功能、需要长时间运行的数据分析复杂查询等。 2.3)一些需要长时间使用的应用场景不适用于该条目,如客服对话功能、ESOW编辑功能、车辆/设备诊断调试、前端拉取数据合成生成报表文件。 2.4)采用refresh_token、access_token的情况,access_token超时时间使用上述超时时间。对APP提供服务的会话(access_token)超时时间不超过48小时,refresh_token超时时间不超过168小时,当用户在会话超时时间内存在活动操作时并且APP运行环境没有发生变更时,允许进行会话(含refresh_token)的更换。

Actual Behavior

登录后半小时无操作,会话仍有效

Affected Component

Admin Console

Severity

Medium (Feature partially works)

Environment

吉利内部测试环境,基于himarket v0.5版本

Logs and Error Messages



Screenshots


No response


Additional Context


No response


Checklist


    

  •  I have searched existing issues to avoid duplicates
    • 

  •  I have included all necessary information above
    • 

  •  I am using the latest version of HiMarket
    • 

  •  I can reproduce this issue consistently
    • 

Metadata
Metadata
Assignees
No one assigned
    Labels
    bugSomething isn't working
    Type
    No type
    Projects
    No projects
    Milestone
    No milestone
    Relationships
    None yet
    Development
    No branches or pull requests
    Issue actions