作者你好,我在本地对 Z-BlogPHP 1.7.5.3540 进行安全审计与复核时,确认了两个疑似的安全问题:
1.删除作者后,未发布文章或页面可被匿名 API 读取
该问题已经在本地实验环境中完成复现与验证。
简要影响如下:
- 原本不应被公开访问的草稿或待审内容,在特定业务状态下可被匿名访问者直接读取
- 攻击者只需要知道目标对象 ID,即可请求接口尝试读取内容
- 触发前提是作者被删除且内容被保留
2.安装器 PostgreSQL 数据库名参数可导致 SQL 注入
该问题已经在本地实验环境中完成复现与验证,并已确认存在真实数据库侧副作用。
简要影响如下:
- 攻击者如果能够访问未完成安装的站点安装器,可通过 PostgreSQL 数据库名字段影响后端 CREATE DATABASE 语义
- 在数据库账户具备建库能力时,可以造成可观测的数据库侧副作用
出于安全考虑我没有将漏洞细节呈现在issue中,在这之前我已经将详细复现步骤以及可能的影响以邮件的形式发到了contact@rainbowsoft.org,但收到了“您找错人了。请您联系该网站的所有者!”这样的自动回复,希望能够得到作者的复核和确认,如果有任何疑问请通过邮件回复,麻烦了!
作者你好,我在本地对 Z-BlogPHP 1.7.5.3540 进行安全审计与复核时,确认了两个疑似的安全问题:
1.删除作者后,未发布文章或页面可被匿名 API 读取
该问题已经在本地实验环境中完成复现与验证。
简要影响如下:
2.安装器 PostgreSQL 数据库名参数可导致 SQL 注入
该问题已经在本地实验环境中完成复现与验证,并已确认存在真实数据库侧副作用。
简要影响如下:
出于安全考虑我没有将漏洞细节呈现在issue中,在这之前我已经将详细复现步骤以及可能的影响以邮件的形式发到了contact@rainbowsoft.org,但收到了“您找错人了。请您联系该网站的所有者!”这样的自动回复,希望能够得到作者的复核和确认,如果有任何疑问请通过邮件回复,麻烦了!