漏洞:PagerMaid-Pyro 网页控制面板存在令牌泄漏漏洞
漏洞编号:无
重要等级:严重
影响范围:>= 1.2.30, < 1.4.14 的 PagerMaid-Pyro 用户,且开启网页控制面板的用户。
漏洞原理:
此漏洞源于 PagerMaid-Pyro 网页控制面板中硬编码的令牌字符串。在使用 amis 模板时,由于 Log 组件无法通过全局适配器自动添加令牌到标头中,开发者选择通过硬编码的方式来传递令牌。这种实现方式虽然解决了适配器问题,但也导致了令牌字符串的泄漏,未经授权的用户可能通过该漏洞获取访问权限。
漏洞概述:
此漏洞会导致令牌泄漏给未授权用户,攻击者可以利用暴露的令牌直接访问和控制 PagerMaid-Pyro 的 Web 控制面板,进一步篡改数据或控制服务。暴露在公网的 Web 控制面板风险更大,攻击者无需进行复杂的身份验证即可利用此漏洞。
风险描述:
1. 攻击者可以获取硬编码的令牌并利用其直接访问 PagerMaid-Pyro 服务。
2. 公网上暴露的 Web 控制面板面临极大的安全风险。
3. 攻击者可以通过此漏洞进行未经授权的访问,执行恶意操作或篡改服务。
影响组件:
PagerMaid-Pyro 网页控制面板
处置建议:
1. 升级版本:强烈建议用户执行 apt update 升级至最新的 1.4.14 版本以解决此漏洞。
2. 关闭 Web 控制面板:如果暂时无法进行升级,建议关闭 Web 控制面板,防止令牌泄漏。
3. 禁用外网访问:如果无法关闭控制面板,建议禁止公网访问或通过 IP 限制控制访问。
临时缓解措施:
该漏洞已被开发者修复,如果您不想升级请关闭网页控制面板或者禁止外网访问。
补充:
此漏洞对于公开暴露 Web 控制面板的用户危害极大,攻击者可以轻松获取令牌并控制服务。建议用户尽快采取相应的修复措施。
消息来源: GitHub / PagerMaid-Modify
漏洞编号:无
重要等级:严重
影响范围:>= 1.2.30, < 1.4.14 的 PagerMaid-Pyro 用户,且开启网页控制面板的用户。
漏洞原理:
此漏洞源于 PagerMaid-Pyro 网页控制面板中硬编码的令牌字符串。在使用 amis 模板时,由于 Log 组件无法通过全局适配器自动添加令牌到标头中,开发者选择通过硬编码的方式来传递令牌。这种实现方式虽然解决了适配器问题,但也导致了令牌字符串的泄漏,未经授权的用户可能通过该漏洞获取访问权限。
漏洞概述:
此漏洞会导致令牌泄漏给未授权用户,攻击者可以利用暴露的令牌直接访问和控制 PagerMaid-Pyro 的 Web 控制面板,进一步篡改数据或控制服务。暴露在公网的 Web 控制面板风险更大,攻击者无需进行复杂的身份验证即可利用此漏洞。
风险描述:
1. 攻击者可以获取硬编码的令牌并利用其直接访问 PagerMaid-Pyro 服务。
2. 公网上暴露的 Web 控制面板面临极大的安全风险。
3. 攻击者可以通过此漏洞进行未经授权的访问,执行恶意操作或篡改服务。
影响组件:
PagerMaid-Pyro 网页控制面板
处置建议:
1. 升级版本:强烈建议用户执行 apt update 升级至最新的 1.4.14 版本以解决此漏洞。
2. 关闭 Web 控制面板:如果暂时无法进行升级,建议关闭 Web 控制面板,防止令牌泄漏。
3. 禁用外网访问:如果无法关闭控制面板,建议禁止公网访问或通过 IP 限制控制访问。
临时缓解措施:
该漏洞已被开发者修复,如果您不想升级请关闭网页控制面板或者禁止外网访问。
补充:
此漏洞对于公开暴露 Web 控制面板的用户危害极大,攻击者可以轻松获取令牌并控制服务。建议用户尽快采取相应的修复措施。
消息来源: GitHub / PagerMaid-Modify