伏雨朝寒悉不胜,那能还傍杏花行。去年高摘斗轻盈。漫惹炉烟双袖紫,空将酒晕一衫青。人间何处问多情。 ———— 纳兰容若
邮件通知
前天博客收到回复的时候没有邮件通知,因为以前的邮箱密码忘记了一直没有配置邮件通知插件
然后找回密码又莫名其妙500错误索性找了个新的
看了一圈最近在更新的就这个LoveKKComment 插件在更新于是就他啦~
漏洞详情
接上篇LoveKKComment插件SMTP保存配置卡死在排查的时候发现debug默认日志保存文件后缀是txt当时留意了一下,因为txt在浏览器是可以直接访问的,今天在测试的时候又看了下debug.txt文件内容发现直接把SMTP 配置明文写在了里面,然后浏览器可以直接访问debug.txt文件绝对路径/usr/plugins/LoveKKComment/debug.txt
不出意外阿里云推送 和 Send Cloud 的API USER及API KEY 也应该是明文的,并且Debug是默认启用的。这样就不只是会泄露访客的邮箱作者的邮箱还可以直接拿到邮箱的账户和密码。
解决方法
其实就是代码设计不严谨没做好防护过滤我能想到的方法:
- 应该默认禁用Debug模式
- debug.txt使用随机的文件名
- 生成文件后缀设置为.log 然后防火墙禁止直接访问.log文件
- 其他一些禁止浏览器能直接访问文件的方案
CVE
CVE-666
基友王忘杰颁发 /滑稽