立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 253|回复: 16

PR漏洞问题汇报

[复制链接]

PR漏洞问题汇报

[复制链接]

5

主题

27

回帖

131

积分

注册会员

积分
131
开腥小站长

5

主题

27

回帖

131

积分

注册会员

积分
131
2020-10-30 13:36:39 | 显示全部楼层 |阅读模式
本帖最后由 开腥小站长 于 2020-10-30 14:41 编辑

非常感谢 @meilinhost 大佬发现了这个重大漏洞,避免了更大的危害。

漏洞影响:
老面板过渡至新面板的用户

漏洞成因:
1. 老面板创建时VPS用户关联存在问题。
2. 导入新面板后,数据库中UID变为0。
3. 用户登录WHMCS后,进入终端面板。
4. 面板缺少必要的鉴权流程,在VPS用户ID不存在时,直接以UID=0读取VPS列表。
5. UID=0对应的用户是root,因此其可以读取出所有用户ID。

我们已修复本站数据库内的问题,并且反馈该BUG给面板开发商,也提醒同面板商家注意检查类似情况。
在此向各位深表歉意!
回复

使用道具 举报

133

主题

646

回帖

2247

积分

金牌会员

积分
2247
micto

133

主题

646

回帖

2247

积分

金牌会员

积分
2247
2020-10-30 14:01:46 | 显示全部楼层


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

55

主题

1579

回帖

4791

积分

论坛元老

积分
4791
88232128

55

主题

1579

回帖

4791

积分

论坛元老

积分
4791
2020-10-30 13:38:17 | 显示全部楼层
本帖最后由 88232128 于 2020-10-30 13:40 编辑

踢个楼吧,把你这个月工资拿出来分了,不然双十一女装安排上。
回复

使用道具 举报

43

主题

152

回帖

869

积分

高级会员

积分
869
jeff

43

主题

152

回帖

869

积分

高级会员

积分
869
2020-10-30 13:42:52 | 显示全部楼层
就算是qn背书,也不敢用pr
技术甚至不如cc阿三
回复

使用道具 举报

24

主题

278

回帖

888

积分

高级会员

积分
888
bios12567496

24

主题

278

回帖

888

积分

高级会员

积分
888
2020-10-30 14:02:07 | 显示全部楼层
50x277是真的吗

回复

使用道具 举报

62

主题

326

回帖

1566

积分

金牌会员

积分
1566
Sandy

62

主题

326

回帖

1566

积分

金牌会员

积分
1566
2020-10-30 14:14:00 | 显示全部楼层

meilinhost 发表于 2020-10-30 17:39

贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete? ...

如果是我肯定delete啊,这还用说吗,PR现在搞不好不就是因为没人敢delete吗
回复

使用道具 举报

15

主题

328

回帖

1081

积分

金牌会员

积分
1081
1号城管

15

主题

328

回帖

1081

积分

金牌会员

积分
1081
2020-10-30 19:56:21 | 显示全部楼层
所以真的是1台母鸡上50x277个小鸡吗,

回复

使用道具 举报

58

主题

283

回帖

1298

积分

金牌会员

积分
1298
meilinhost

58

主题

283

回帖

1298

积分

金牌会员

积分
1298
2020-10-30 17:39:00 | 显示全部楼层

Sandy 发表于 2020-10-30 15:32

人非常好?贴用户数据都不带打个码的,这算哪门子非常好?

贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete?
回复

使用道具 举报

62

主题

326

回帖

1566

积分

金牌会员

积分
1566
Sandy

62

主题

326

回帖

1566

积分

金牌会员

积分
1566
2020-10-30 13:45:32 | 显示全部楼层

开腥小站长 发表于 2020-10-30 13:45

已经关掉了新面板,不会再有后续操作了。
发现漏洞的大佬能看到用户的邮箱,没有其它操作。
已经联系上了 ...

人非常好?贴用户数据都不带打个码的,这算哪门子非常好?
回复

使用道具 举报

13

主题

326

回帖

1039

积分

金牌会员

积分
1039
seal0207

13

主题

326

回帖

1039

积分

金牌会员

积分
1039
2020-10-30 17:39:44 | 显示全部楼层
没有1111活动了?1块1的机器是时候放出来玩了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 21:51 , Processed in 0.024110 second(s), 2 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表