软件包
PagerMaid-Pyro
受影响版本
<1.4.14
修补版本
1.4.14
说明
摘要
使用网络控制面板时,主页会对令牌字符串进行硬编码,这种行为会导致令牌泄漏。
PoC
由于amis模板的日志组件没有使用全局适配器,因此无法自动将标记添加到标头。在创建主页时,我们使用硬编码的标记字符串来解决这个问题。
PagerMaid-Pyro/pagermaid/web/pages/home_page.py
第46行,位于2b37f95
“标头":{“令牌”:Config.WEB_SECRET_KEY}、
“源":{
“url":“/pagermaid/api/log?num=${log_num|raw}"、
“方法":{“get"、
“dataType":“json"、
“qsOptions":{
“arrayFormat":“indices"、
“encodeValuesOnly":true
},
“headers":{
“token":“${token}”
},
“replaceData":false
},
使用此方法后,问题已成功解决。该方法还会导致令牌字符串泄漏。
解决方法是同时使用cookie验证用户端传递的令牌字符串。
影响
网络控制台令牌已泄露,影响所有打开网络控制台并可公开访问的用户
修补程序
此问题已解决,请更新至1.4.14版。
解决方法
建议升级到最新版本,如果不想升级,请关闭网络控制面板或禁止公众访问。
该账户的所有者请到河南省洛阳市西工区体育场路1号认领遗失账户。
-----------------------------------------------------
网友回复:
https://www.nodeseek.com/post-163826-1
网友回复:
洛阳市公安局郑重提醒:网络不是法外之地,非法飜墙的TG用户请及时自首