此次发现的缺陷有两处, 1、模板变量users暴露用户密码。别有用心的第三方模板可以借此收集用户信息。 2、后台用户管理接口验证不严,普通用户可查看任意用户密码,包括管理员。此漏洞暂未提供补丁,危害程度很高,因此在修复之前暂不列出详细入口。 https://github.com/b3log/b3log-solo/iss ..

B3log Solo 爆 0Day 漏洞剑指用户密码

本贴最后更新于 2420 天前,其中的信息可能已经时移世改


    此次发现的缺陷有两处,

        1、模板变量users暴露用户密码。别有用心的第三方模板可以借此收集用户信息。

        2、后台用户管理接口验证不严,普通用户可查看任意用户密码,包括管理员。此漏洞暂未提供补丁,危害程度很高,因此在修复之前暂不列出详细入口。


        https://github.com/b3log/b3log-solo/issues/177

  • Solo

    Solo 是一款小而美的开源博客系统,专为程序员设计。

    Solo 有着非常活跃的社区,可将文章作为帖子推送到社区,来自社区的回帖将作为博客评论进行联动。

    这是一种全新的网络社区体验,让热爱记录和分享的你不再感到孤单!
    具体细节请浏览 B3log 构思

    769 引用 • 5776 回帖 • 689 关注
  • 安全

    安全永远都不是一个小问题。

    130 引用 • 684 回帖 • 637 关注
3 回帖   
请输入回帖内容...