闲蛋中转面板存在高危漏洞,攻击者可获取管理员权限 据TG网友苏小七提供的消息,知名多协议中转面板“闲蛋面板”存在高危漏洞。他于今天凌晨在TG频道中公布了这个漏洞。 该漏洞的原理在于,普通用户登录闲蛋面板,系统会直接返回与用户账号相关的登录信息,包括明文邮箱和密码。而通过访问特定链接并查找"usertype:0",即可获取管理员账号及其经过低强度MD5处理后的密码。由于密码只经过一次MD5,攻击者可通过Md5字典库查询到对应的明文。 一旦攻击者获取到这些信息就能够登录面板,能够执行各项操作,包括进行支付提现和导出配置数据等。 为避免损失,使用闲蛋面板的用户应该立即修改其密码,增加密码强度。对于有资金隐患的管理员则应该立即关闭服务器等待修复。 苏小七说,闲蛋面板还存在一个遍历漏洞,能够获取所有支付过订单用户的邮箱和密钥查看密码。由于许多用户习惯使用与登录密码相同的密码,使攻击者能够登录这些账号。 闲蛋面板开发者noobcfy在TG群组中回复苏小七时称他将修复这个漏洞,一次MD5的问题此前已被其注意到,由于担忧更新后会导致许多人无法登录而延缓了更新计划。 [消息等级 Level C · 一般] 7.0K viewsedited 03:44
