security vulnerability (存在安全漏洞)

dotnetcore / AgileConfig

基于.NET Core开发的轻量级分布式配置中心 / .NET Core lightweight configuration server

MIT License

1.5k stars 299 forks source link

security vulnerability (存在安全漏洞) #91

Closed poq79 closed 2 years ago

poq79 commented 2 years ago

The hard-coded JWT Secret in the source code allows remote attackers to gain administrator access in AgileConfig Server. Details and POC have been emailed. 源代码中存在JWT key 硬编码，导致原有的登录限制可能被绕过，直接以管理员权限访问系统详细信息和POC已发送至邮箱

kklldog commented 2 years ago

感谢指出。jwt相关的配置其实都可以使用环境变量来替换，但是估计确实大部分人不会去主动更换，后面的版本我打算在启动的时候生成一个jwt key 来规避这个问题。

kklldog commented 2 years ago

v-1.6.8 已修复该问题

JavaScript-zt commented 2 years ago

你好，agileConfig.Client 最新版本才1.6.2.2 ，怎么升级到1.6.8，这会导致nuget 里面这个包前面一直带有黄色感叹号

kklldog commented 2 years ago

你好，agileConfig.Client 最新版本才1.6.2.2 ，怎么升级到1.6.8，这会导致nuget 里面这个包前面一直带有黄色感叹号

其实这个漏洞跟client没关系，client根本走的不是jwt认证。但是GitHub的策略好像觉得这个client也要更新。你就用最新的1622好了没关系的。我有空修改个版本号消除这个感叹号。