flyzy博客
非常感谢 @meilinhost 大佬发现了这个重大漏洞,避免了更大的危害。
漏洞影响:
老面板过渡至新面板的用户
漏洞成因:
1. 老面板创建时VPS用户关联存在问题。
2. 导入新面板后,数据库中UID变为0。
3. 用户登录WHMCS后,进入终端面板。
4. 面板缺少必要的鉴权流程,在VPS用户ID不存在时,直接以UID=0读取VPS列表。
5. UID=0对应的用户是root,因此其可以读取出所有用户ID。
我们已修复本站数据库内的问题,并且反馈该BUG给面板开发商,也提醒同面板商家注意检查类似情况。
在此向各位深表歉意!
黑龙江省网友说:
辽宁省网友说:踢个楼吧,把你这个月工资拿出来分了,不然双十一女装安排上。
甘肃省网友说:就算是qn背书,也不敢用pr
技术甚至不如cc阿三
湖北省网友说:50×277是真的吗
福建省网友说:如果是我肯定delete啊,这还用说吗,PR现在搞不好不就是因为没人敢delete吗
河北省网友说:所以真的是1台母鸡上50×277个小鸡吗,
浙江省网友说:贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete?
福建省网友说:人非常好?贴用户数据都不带打个码的,这算哪门子非常好?
河南省网友说:没有1111活动了?1块1的机器是时候放出来玩了
甘肃省网友说:直接出公告全部不让续费,像瓦工一样,低端淘汰,不然到时候续一部分不续一部分,你的母鸡利用率不低么
广东省网友说:送鸡感谢吧
海南省网友说:前排吃瓜了
山西省网友说:送点鸡出来感谢。
安徽省网友说:t个楼吧
江西省网友说:泄漏了用户数据没
辽宁省网友说:邮箱数据肯定是泄露出来了
青海省网友说:这几天,面板登录就像中彩票,太慢了
辽宁省网友说:已经关掉了新面板,不会再有后续操作了。
发现漏洞的大佬能看到用户的邮箱,没有其它操作。
已经联系上了,对方人非常好,也多亏了他把漏洞发出来。
江苏省网友说:不送我个小鸡,泄露数据安排上
辽宁省网友说:可怕
青海省网友说:没有1111活动了?1块1的机器是时候放出来玩了
河南省网友说:来PR当销售吧,小鸡应有尽有
安徽省网友说:不当 不当,你之前都说要跑路了,我才不入坑
河北省网友说:机房被揍了,加上滥用的也多。
ARP一多,面板读取都费劲。
网络不解决,没法搞啊。
黑龙江省网友说:坐等t楼
浙江省网友说:旧的网络全是坑,IP没法回收利用,新的IP资源没了。
河北省网友说:等能开出机器再说吧
辽宁省网友说:
湖南省网友说:50×277是真的吗
安徽省网友说:去年开的机子快到期了 也不会再续费了 太差了PacificRack
湖南省网友说:太差了。国外去ping都是20%以上的丢包率。。
广东省网友说:千万别续了……
老的问题太多了,现在就想赶紧等老用户都到期了,不然没法处理。
浙江省网友说:也不知道能说啥,加油奥力给
海南省网友说:这个没法办,中美只有GIA不丢包
山西省网友说:直接出公告全部不让续费,像瓦工一样,低端淘汰,不然到时候续一部分不续一部分,你的母鸡利用率不低么
云南省网友说:老用户的3折还想用咋办~快到期了
贵州省网友说:还是来t个楼吧兄弟!
山西省网友说:母鸡可以合并的,主要是IP段不好办,没有切分的VLAN没法重复利用
辽宁省网友说:所以还不如不让续了,直接重新搞一批,反正也不会有多少人续
辽宁省网友说:是所有老PR的VPS,一台母鸡早就完蛋了……
云南省网友说:可以强制合并啊。然后给于一定的补偿。
甘肃省网友说:我怀疑是故意的,双十一快到了,又人气一波。
安徽省网友说:IP段?那个没法合并…
PR当初拿来创建VPS的libvirt太老了,一改IP机器就直接失联了。
台湾省网友说:这“人气”还是没有的好……
陕西省网友说:强制合并到新母鸡。分配新IP。
吉林省网友说:50×277
大佬算算可以买多少套女装
广东省网友说:问题是所有用户ip和邮箱列表应该已经被拉出清单来了,这个问题难道没有个解决方案吗
广东省网友说:人非常好?贴用户数据都不带打个码的,这算哪门子非常好?
陕西省网友说:
河南省网友说:圣诞预售2C-2G-35G-2T 能转成什么新套餐呢?
河北省网友说:啥玩法,一年了解决不了问题
贵州省网友说:这不是丢包,去丢人!
青海省网友说:libvirt5操作不了那批KVM,而且从centos6搬迁到centos7的VPS也直接失联,这些都试过了。
海南省网友说:贴数据咋滴了,你少肉了吗?我没改你们密码,删你们小鸡还叫不好? 你意思是就该50*277 delete?
福建省网友说:10/30/2020 11/09/2020 $13.50 USD 未付款
元老款,出账单了
福建省网友说:来吃瓜了
陕西省网友说:应该全部删掉 这样就可以要求pr退款了
辽宁省网友说:关掉新面板后还会再开放吗?这个期间的vps重装怎么操作 要用老面板吗?
海南省网友说:已经开放了,UID=0的VPS一共2台,全部改好后无法再查看全部VPS列表。
这个漏洞是virtualizor面板鉴权问题,已经跟他们反馈了。
辽宁省网友说:如果是我肯定delete啊,这还用说吗,PR现在搞不好不就是因为没人敢delete吗
浙江省网友说:你们家的技术有点不行啊,小鸡网络有点问题让给看看,客服说他那边重启一下小鸡,没想到重启小鸡后SSH都连不上了
山东省网友说:老PR别提了,CentOS6+Libvirt0.1,重启失联日常操作,搞不好数据都没了。
客服也是没辙,如果底子打得稳哪有这么多幺蛾子……
