security vulnerability (存在安全漏洞) #91
Comments
|
感谢指出。jwt相关的配置其实都可以使用环境变量来替换,但是估计确实大部分人不会去主动更换,后面的版本我打算在启动的时候生成一个jwt key 来规避这个问题。 |
|
v-1.6.8 已修复该问题 |
|
你好,agileConfig.Client 最新版本才1.6.2.2 ,怎么升级到1.6.8,这会导致nuget 里面 这个包前面一直带有黄色感叹号 |
其实这个漏洞跟client没关系,client根本走的不是jwt认证。但是GitHub的策略好像觉得这个client也要更新。你就用最新的1622好了没关系的。我有空修改个版本号消除这个感叹号。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
The hard-coded JWT Secret in the source code allows remote attackers to gain administrator access in AgileConfig Server.
Details and POC have been emailed.
源代码中存在JWT key 硬编码,导致原有的登录限制可能被绕过,直接以管理员权限访问系统
详细信息和POC已发送至邮箱
The text was updated successfully, but these errors were encountered: