PR漏洞问题汇报

开腥小站长 · 2020-10-30 13:36:39

本帖最后由开腥小站长于 2020-10-30 14:41 编辑

非常感谢 @meilinhost 大佬发现了这个重大漏洞，避免了更大的危害。

漏洞影响：
老面板过渡至新面板的用户

漏洞成因：
1. 老面板创建时VPS用户关联存在问题。
2. 导入新面板后，数据库中UID变为0。
3. 用户登录WHMCS后，进入终端面板。
4. 面板缺少必要的鉴权流程，在VPS用户ID不存在时，直接以UID=0读取VPS列表。
5. UID=0对应的用户是root，因此其可以读取出所有用户ID。

我们已修复本站数据库内的问题，并且反馈该BUG给面板开发商，也提醒同面板商家注意检查类似情况。
在此向各位深表歉意！

micto · 2020-10-30 14:01:46

88232128 · 2020-10-30 13:38:17

本帖最后由 88232128 于 2020-10-30 13:40 编辑

踢个楼吧，把你这个月工资拿出来分了，不然双十一女装安排上。

jeff · 2020-10-30 13:42:52

就算是qn背书，也不敢用pr
技术甚至不如cc阿三

bios12567496 · 2020-10-30 14:02:07

50x277是真的吗

Sandy · 2020-10-30 14:14:00

meilinhost 发表于 2020-10-30 17:39

贴数据咋滴了，你少肉了吗？我没改你们密码，删你们小鸡还叫不好？你意思是就该50*277 delete？ ...
如果是我肯定delete啊，这还用说吗，PR现在搞不好不就是因为没人敢delete吗

1号城管 · 2020-10-30 19:56:21

所以真的是1台母鸡上50x277个小鸡吗，

meilinhost · 2020-10-30 17:39:00

Sandy 发表于 2020-10-30 15:32

人非常好？贴用户数据都不带打个码的，这算哪门子非常好？
贴数据咋滴了，你少肉了吗？我没改你们密码，删你们小鸡还叫不好？你意思是就该50*277 delete？

Sandy · 2020-10-30 13:45:32

开腥小站长发表于 2020-10-30 13:45

已经关掉了新面板，不会再有后续操作了。
发现漏洞的大佬能看到用户的邮箱，没有其它操作。
已经联系上了 ...
人非常好？贴用户数据都不带打个码的，这算哪门子非常好？

seal0207 · 2020-10-30 17:39:44

没有1111活动了？1块1的机器是时候放出来玩了

		立即注册	自动登录	找回密码
密码			立即注册

PR漏洞问题汇报

PR漏洞问题汇报

本帖子中包含更多资源