<aside> 📋 文档密级: 安全敏感
</aside>
<aside> 📋 报告日期: 2026-05-17
</aside>
<aside> 📋 漏洞类型: IDOR (Insecure Direct Object Reference) / 访问控制缺失
</aside>
<aside> 📋 CVSS 3.1 评分: 8.6 (High)
</aside>
<aside> 📋 CWE 分类: CWE-862 (Missing Authorization)
</aside>
人工复核:目前,因oneapi的bug问题,此漏洞在大多数情况下暂时无法造成生产级损失,具体取决于上游api网关
songquanpeng/one-api(GitHub 33k+ stars)的 Proxy Relay 功能中存在严重的访问控制缺失。/v1/oneapi/proxy/:channelid/*target 路由允许任意持有有效 API token 的普通用户通过 URL 路径参数直接指定渠道 ID,绕过管理员权限检查,使用任意渠道的上游 API Key 发送请求。
攻击者仅需一个最低权限的 API token,即可:
自 PR #1678(2024-07-22 合并)起至今的所有版本,包括当前最新 release v0.6.10。