Arbitrary password modification vulnerability

[Gitaddy]

存在任意用户修改密码漏洞（Arbitrary password modification vulnerability）
官方试用地址：http://try.powerjob.tech/#/welcome
注册账号1：test1 / 123456
注册账号2：test2 / 123456


进入账号1：

修改用户密码：


不存在身份校验等凭证，直接可以修改用户test2的密码
这里仅存的就是id，但是由于是直接递增的，所以test2的id应该是73

最后登录成功：

[KFCFans]

哈哈哈，不得不说你真的太有极客精神了。
由于 PowerJob 是一个典型的内网系统，在控制台安全性这个层面并没有考虑太多，或者说故意不考虑那么多。
毕竟一旦考虑就得顺带着考虑权限控制等东西，这会让 powerjob-server 变得非常不存粹。

不过既然你都那么辛苦的找出问题了，下个版本我就稍微强化下控制台的安全性吧...至少加个密码校验。

最后，十分感谢那么细致入微的排查和反馈！