Xboard UUID泄露漏洞

機場運營 · 31 天前 · 782 人浏览
Xboard UUID泄露漏洞

Xboard面板漏洞,可导致所有用户uuid泄漏,目前已有多家机场被大规模扫描。
2024-10-06T10:46:40.png
起因是Xboard开发者只核验了提交的token是否正确,却没判断是否为空,导致没token的时候反而绕过了校验导致订阅可被未授权遍历。此漏洞可导致用户订阅信息泄漏,预计泄漏后将导致市面出现大批免费节点。

另外据传Xboard还存在SQL注入漏洞。

修復方法:
文件位置:/app/Http/Middleware/Server.php

方法1(推荐更优雅):见图红色部分,添加图片红色部分到代码中。
2024-10-06T10:47:17.png
方法2(不推荐不优雅):加到中间件内:
加到$request->validate(前)

$token = $request->input('token');
if (empty($token)) {
    throw new ApiException('token is null',403);
}

參考地址

aapanel + docker compose| 1panel | docker compose 更新命令

docker compose pull
docker compose run -it --rm xboard sh update.sh
docker compose restart

aapanel不+docker更新命令

sh update.sh
本站立足于美利堅合衆國,請讀者自覺遵守當地法律!如有違規,本站不承擔任何法律責任! This site is based in the United States of America, readers are requested to abide by local laws! If there are any violations, this site does not bear any legal responsibility!
2024 Xue Li Li's Blog. All Rights Reserved.
Theme Jasmine by Kent Liao