严重安全漏洞：guest是停用状态甚至无需账号密码仍可通过webdav访问。

[hi-jaylen]

Please make sure of the following things

• I have read the documentation.
  我已经阅读了文档。

• I'm sure there are no duplicate issues or discussions.
  我确定没有重复的issue或讨论。

• I'm sure it's due to AList and not something else(such as Network ,Dependencies or Operational).
  我确定是AList的问题，而不是其他原因（例如网络，依赖或操作）。

• I'm sure this issue is not fixed in the latest version.
  我确定这个问题在最新版本中没有被修复。

AList Version / AList 版本

v3.38.0

Driver used / 使用的存储驱动

阿里云

Describe the bug / 问题描述

我将alist服务通过Sakura Frp内网穿透到公网并绑定了自己的域名，然后通过自己的域名在fileball添加了webdav登录，协议是https，账号和密码都没填。在账号密码都没填的情况下，甚至在guest停用的状态下，仍可以通过fileball的webdav访问，且拥有文件管理权限。但是改用本地IP就不能访问。测试了几个app，只有fileball有这个问题。

Reproduction / 复现链接

谁要测试可以发信息给我。或者自己按我的步骤测试一遍。

Config / 配置

无

Logs / 日志

No response

[welcome]

Thanks for opening your first issue here! Be sure to follow the issue template!

[hi-jaylen]

没有人关注这个问题？