z-9527 admin 用户更新端点 user.js 动态确定对象属性

z-9527 admin 1.0/2.0 中发现了一个漏洞。它影响组件用户更新端点文件 /server/routes/user.js 的一个未知功能。使用输入 1 对参数 isAdmin 进行此类操作会导致动态确定对象属性。可以远程发起攻击。该漏洞利用是公开可用的，可能会被使用。已提前联系供应商披露此信息，但未以任何方式回应。