本客服平台由提供产品服务

讨论社区

数据安全是重中之重,希望超表越来越好!

偶然发现的情况,表现是,得到任意表格的ID,即可获取其所有内容,希望予以重视!

  • 免费版用户在”正式版(稳定性中)”,创建任一表格,均被要求分享表头到库

  • 用A账号创建一个表,其中某字段设置的是”智能输入“,引入内容为A账号的表

  • B账号在表头库中选择A账号分享的表头使用创建新表T

  • 表T可通过”智能输入“字段访问A账号里对应表的内容

  • 以此线索,发现了一处不妥的接口


修复方案

  1. [临时修复]替换所有分享表头中”智能输入“字段的属性为string

  2. [根本修复]调整接口的权限,在引用表的时候,检查表格的状态

    …………getUserTableViewsAndFields?projectid=………………(关键部分隐去)..


希望尽快核实修复

0 人关注了该问题 关注

0

超级表格客服 • 2周前

您好,您反馈的问题我们非常重视。

目前技术已经核实是否有此问题。

感谢您的反馈。

0 个讨论

您需要登录后才可回复
您需要登录后才可以回复