flyzy博客
分享便宜VPS与网络优惠
搬瓦工

PR漏洞问题汇报

非常感谢 @meilinhost 大佬发现了这个重大漏洞,避免了更大的危害。

漏洞影响:
老面板过渡至新面板的用户

漏洞成因:
1. 老面板创建时VPS用户关联存在问题。
2. 导入新面板后,数据库中UID变为0。
3. 用户登录WHMCS后,进入终端面板。
4. 面板缺少必要的鉴权流程,在VPS用户ID不存在时,直接以UID=0读取VPS列表。
5. UID=0对应的用户是root,因此其可以读取出所有用户ID。

我们已修复本站数据库内的问题,并且反馈该BUG给面板开发商,也提醒同面板商家注意检查类似情况。
在此向各位深表歉意!

黑龙江省网友说

辽宁省网友说:踢个楼吧,把你这个月工资拿出来分了,不然双十一女装安排上。

甘肃省网友说:就算是qn背书,也不敢用pr
技术甚至不如cc阿三

湖北省网友说:50×277是真的吗

福建省网友说:如果是我肯定delete啊,这还用说吗,PR现在搞不好不就是因为没人敢delete吗

河北省网友说:所以真的是1台母鸡上50×277个小鸡吗,

浙江省网友说:贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete?

福建省网友说:人非常好?贴用户数据都不带打个码的,这算哪门子非常好?

河南省网友说:没有1111活动了?1块1的机器是时候放出来玩了

甘肃省网友说:直接出公告全部不让续费,像瓦工一样,低端淘汰,不然到时候续一部分不续一部分,你的母鸡利用率不低么

广东省网友说:送鸡感谢吧

海南省网友说:前排吃瓜了

山西省网友说:送点鸡出来感谢。

安徽省网友说:t个楼吧

江西省网友说:泄漏了用户数据没

辽宁省网友说:邮箱数据肯定是泄露出来了

青海省网友说:这几天,面板登录就像中彩票,太慢了

辽宁省网友说:已经关掉了新面板,不会再有后续操作了。
发现漏洞的大佬能看到用户的邮箱,没有其它操作。
已经联系上了,对方人非常好,也多亏了他把漏洞发出来。

江苏省网友说:不送我个小鸡,泄露数据安排上

辽宁省网友说:可怕

青海省网友说:没有1111活动了?1块1的机器是时候放出来玩了

河南省网友说:来PR当销售吧,小鸡应有尽有

安徽省网友说:不当 不当,你之前都说要跑路了,我才不入坑

河北省网友说:机房被揍了,加上滥用的也多。
ARP一多,面板读取都费劲。
网络不解决,没法搞啊。

黑龙江省网友说:坐等t楼

浙江省网友说:旧的网络全是坑,IP没法回收利用,新的IP资源没了。

河北省网友说:等能开出机器再说吧

辽宁省网友说

湖南省网友说:50×277是真的吗

安徽省网友说:去年开的机子快到期了 也不会再续费了 太差了PacificRack

湖南省网友说:太差了。国外去ping都是20%以上的丢包率。。

广东省网友说:千万别续了……
老的问题太多了,现在就想赶紧等老用户都到期了,不然没法处理。

浙江省网友说:也不知道能说啥,加油奥力给

海南省网友说:这个没法办,中美只有GIA不丢包

山西省网友说:直接出公告全部不让续费,像瓦工一样,低端淘汰,不然到时候续一部分不续一部分,你的母鸡利用率不低么

云南省网友说:老用户的3折还想用咋办~快到期了

贵州省网友说:还是来t个楼吧兄弟!

山西省网友说:母鸡可以合并的,主要是IP段不好办,没有切分的VLAN没法重复利用

辽宁省网友说:所以还不如不让续了,直接重新搞一批,反正也不会有多少人续

辽宁省网友说:是所有老PR的VPS,一台母鸡早就完蛋了……

云南省网友说:可以强制合并啊。然后给于一定的补偿。

甘肃省网友说:我怀疑是故意的,双十一快到了,又人气一波。

安徽省网友说:IP段?那个没法合并…
PR当初拿来创建VPS的libvirt太老了,一改IP机器就直接失联了。

台湾省网友说:这“人气”还是没有的好……

陕西省网友说:强制合并到新母鸡。分配新IP。

吉林省网友说:50×277
大佬算算可以买多少套女装

广东省网友说:问题是所有用户ip和邮箱列表应该已经被拉出清单来了,这个问题难道没有个解决方案吗

广东省网友说:人非常好?贴用户数据都不带打个码的,这算哪门子非常好?

陕西省网友说

河南省网友说:圣诞预售2C-2G-35G-2T 能转成什么新套餐呢?

河北省网友说:啥玩法,一年了解决不了问题

贵州省网友说:这不是丢包,去丢人!

青海省网友说:libvirt5操作不了那批KVM,而且从centos6搬迁到centos7的VPS也直接失联,这些都试过了。

海南省网友说:贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete?

福建省网友说:10/30/2020        11/09/2020        $13.50 USD        未付款

元老款,出账单了

福建省网友说:来吃瓜了

陕西省网友说:应该全部删掉 这样就可以要求pr退款了

辽宁省网友说:关掉新面板后还会再开放吗?这个期间的vps重装怎么操作 要用老面板吗?

海南省网友说:已经开放了,UID=0的VPS一共2台,全部改好后无法再查看全部VPS列表。
这个漏洞是virtualizor面板鉴权问题,已经跟他们反馈了。

辽宁省网友说:如果是我肯定delete啊,这还用说吗,PR现在搞不好不就是因为没人敢delete吗

浙江省网友说:你们家的技术有点不行啊,小鸡网络有点问题让给看看,客服说他那边重启一下小鸡,没想到重启小鸡后SSH都连不上了

山东省网友说:老PR别提了,CentOS6+Libvirt0.1,重启失联日常操作,搞不好数据都没了。
客服也是没辙,如果底子打得稳哪有这么多幺蛾子……

赞(0) 打赏
关注我们
未经允许不得转载:flyzy博客 » PR漏洞问题汇报
分享到: 更多 (0)

这是一种鼓励

支付宝扫一扫打赏

微信扫一扫打赏