PagerMaid-Pyro 网络令牌泄露漏洞

软件包 PagerMaid-Pyro 受影响版本 < 1.4.14 修补版本 1.4.14 说明 摘要 使用网络控制面板时，主页会对令牌字符串进行硬编码，这种行为会导致令牌泄漏。 PoC 由于 amis 模板的日志组件没有使用全局适配器，因此无法自动将标记添加到标头。在创建主页时，我们使用硬编码的标记字符串来解决这个问题。 PagerMaid-Pyro/pagermaid/web/pages/home_page.py 第 46 行，位于 2b37f95 “标头"： {“令牌”： Config.WEB_SECRET_KEY}、 “源"： {   “url"： “/pagermaid/api/log?num=${log_num | raw}"、   “方法"： { “get"、   “dataType"： “json"、   “qsOptions"： {     “arrayFormat"： “indices"、     “encodeValuesOnly": true   },   “headers"： {     “token"： “${token}”   },   “replaceData": false }, 使用此方法后，问题已成功解决。该方法还会导致令牌字符串泄漏。 解决方法是同时使用 cookie 验证用户端传递的令牌字符串。 影响 网络控制台令牌已泄露，影响所有打开网络控制台并可公开访问的用户 修补程序 此问题已解决，请更新至 1.4.14 版。 解决方法 建议升级到最新版本，如果不想升级，请关闭网络控制面板或禁止公众访问。 该账户的所有者请到河南省洛阳市西工区体育场路 1 号认领遗失账户。