CVE-2024-53855丨用户可以在 centurion_erp 中查看不属于自己的组织的票据

Centurion ERP（企业资源规划）是一个简单的应用程序，专为开源IT管理开发，特别侧重于IT服务管理（ITSM）模块。经过身份验证并拥有票据查看权限的用户可以查看他们不属于的其他组织的票据。以下权限的用户适用：1.拥有`view_ticket_change`权限的用户可以查看他们不属于的组织中的变更票据。2.拥有`view_ticket_incident`权限的用户可以查看他们不属于的组织中的事件票据。3.拥有`view_ticket_request`权限的用户可以查看他们不属于的组织中的请求票据。4.拥有`view_ticket_problem`权限的用户可以查看他们不属于的组织中的问题票据。从不同组织浏览票据的访问权限仅适用于浏览相关票据的API端点。Centurion用户界面不受影响。项目任务虽然是“票据类型”，但同样不受影响。这个问题已在版本1.3.1中得到解决，建议用户进行升级。无法升级的用户可以从用户那里删除票据查看权限，这将缓解这一漏洞。如果这不可行，则建议进行升级。