Closed poq79 closed 2 years ago
感谢指出。jwt相关的配置其实都可以使用环境变量来替换,但是估计确实大部分人不会去主动更换,后面的版本我打算在启动的时候生成一个jwt key 来规避这个问题。
v-1.6.8 已修复该问题
你好,agileConfig.Client 最新版本才1.6.2.2 ,怎么升级到1.6.8,这会导致nuget 里面 这个包前面一直带有黄色感叹号
你好,agileConfig.Client 最新版本才1.6.2.2 ,怎么升级到1.6.8,这会导致nuget 里面 这个包前面一直带有黄色感叹号
其实这个漏洞跟client没关系,client根本走的不是jwt认证。但是GitHub的策略好像觉得这个client也要更新。你就用最新的1622好了没关系的。我有空修改个版本号消除这个感叹号。
The hard-coded JWT Secret in the source code allows remote attackers to gain administrator access in AgileConfig Server. Details and POC have been emailed. 源代码中存在JWT key 硬编码,导致原有的登录限制可能被绕过,直接以管理员权限访问系统 详细信息和POC已发送至邮箱