View in Telegram
灰色天空风向标
Xboard面板漏洞,可导致所有用户uuid泄漏,目前已有多家机场被大规模扫描。 起因是Xboard开发者只核验了提交的token是否正确,却没判断是否为空,导致没token的时候反而绕过了校验导致订阅可被未授权遍历。此漏洞可导致用户订阅信息泄漏,预计泄漏后将导致市面出现大批免费节点。 另外据传Xboard还存在SQL注入漏洞 订阅漏洞修复方法:https://t.center/buhecha/130
Xboard订阅漏洞修复方法,
文件位置:/app/Http/Middleware/Server.php
方法1(推荐更优雅):见图红色部分,添加图片红色部分到代码中。
方法2(不推荐不优雅):加到中间件内:
加到$request->validate( 前
$token = $request->input('token');
if (empty($token)) {
throw new ApiException('token is null',403);
}
Telegram Center
Channel