用户电子邮件在管理页面的单点登录区域未隐藏

Karl_Romanowski · 2020 年8 月 12 日 17:58

在 admin/users 页面查看用户时，“主要邮箱”和“次要邮箱”字段会被隐藏，并且需要相应权限才能查看：

但在同一页面下方通过 SSO 查看时，相同的邮箱却以未受保护的形式显示：

预期结果：SSO 邮箱应像主要邮箱和次要邮箱一样受到保护。

实际结果：SSO 邮箱未受保护，即使站点设置禁止向版主显示邮箱，版主仍可查看。

补充说明：我提到的虽然是邮箱，但实际上“外部 ID”也可能属于敏感信息。

simon · 2020 年8 月 12 日 23:52

我不确定这是否算作一个漏洞，但这确实是一个需要解决的问题。

techAPJ · 2020 年11 月 10 日 19:13

已通过以下方式修复：

techAPJ · 2021 年2 月 17 日 16:45

@anon60302432 指出 SSO 载荷中也包含电子邮件，因此我们同样通过按钮点击来隐藏该载荷，具体修改如下：

话题		回复	浏览量
Moderators should not see emails in SSO section UX	12	1705	2020 年11 月 12 日
SSO payload can be seen be moderators again? Support	9	1096	2021 年2 月 15 日
Can no longer view users emails as a moderator Support	6	1192	2018 年7 月 28 日
Email security/obscurity for moderators is inconsistent Bug	15	3016	2015 年9 月 29 日
Moderators ability to see emails inconsistent Bug	3	1326	2016 年3 月 13 日