1、审计部门编辑功能代码 2、没有对API和数据分别进行权限校验 3、复现 获取低权限(无部门编辑)用户的cookie(Cookie: JSESSIONID=D942B2770374430B5461AC0F5BA33FEE)