今天在查找该插件的相关资料时发现了一个有关这个邮件通知插件的重要安全漏洞的一篇文章,这个漏洞可以泄露发件邮箱的账号密码,十分危险
以下摘自该漏洞发现者 仙岛驿站 的博客
邮件通知
前天博客收到回复的时候没有邮件通知,因为以前的邮箱密码忘记了一直没有配置邮件通知插件
然后找回密码又莫名其妙500错误索性找了个新的
看了一圈最近在更新的就这个LoveKKComment 插件在更新于是就他啦~
漏洞详情
接上篇LoveKKComment插件SMTP保存配置卡死在排查的时候发现debug默认日志保存文件后缀是txt当时留意了一下,因为txt在浏览器是可以直接访问的,今天在测试的时候又看了下debug.txt文件内容发现直接把SMTP 配置明文写在了里面,然后浏览器可以直接访问debug.txt文件绝对路径/usr/plugins/LoveKKComment/debug.txt
不出意外阿里云推送 和 Send Cloud 的API USER及API KEY 也应该是明文的,并且Debug是默认启用的。这样就不只是会泄露访客的邮箱作者的邮箱还可以直接拿到邮箱的账户和密码。
原文地址:https://www.xde.io/netsec/cve-666.html
而经过我的测试,这个漏洞是真实存在的,并且我成功进入了两个使用这个插件的博主的邮箱
解决方法
进入插件设置 关闭Debug模式 删除目录下的debug.txt
我认为这是目前最有效的方法了...
特厉害 · 2020-07-07 19:21
我发现好多 typecho 用户开伪静态都没有隐藏 index.php 文件名,比如你。 :@(中枪)
Zhou_216 · 2020-07-07 19:56
我压根没设置伪静态
之前试了一下,失败了,于是也就懒得动了
反正对网站没啥大的影响:(吐血)
之前还听说伪静态会让加载速度变慢,不知道是不是真的
草方块 · 2020-07-07 22:17
咱用的宝塔(
Cwrce2 · 2020-07-07 22:37
伪静态对加载速度没多大影响,我觉得可能还没有https影响大。
伪静态的Nginx配置文件挺多的。。 :@(汗)
Zhou_216 · 2020-07-07 23:12
老哥好久不见
伪静态的配置确实多,宝塔也有默认的配置
所以我为什么不设置呢,归根结底就是懒:P
Mr.Chou · 2020-07-08 08:04
我一直在用这个插件,看了你的文章吓得我赶紧到后台查看,嗯…还好没开启调试模式。
Zhou_216 · 2020-07-08 09:25
这个功能是默认开启的
建议你去插件根目录查看一下有没有生成debug.txt
Mr.Chou · 2020-07-09 22:22
没有找到这个文件,我默认是关闭的..
游轶 · 2020-07-11 08:25
感谢分享!
和泉式部 · 2020-07-13 09:21
泄露邮箱密码感觉好像也没啥,,ԾㅂԾ,,毕竟企业邮箱的话密码自己的管理号也是能直接更改的。我就是企业邮箱添加一个新成员弄的。
Zhou_216 · 2020-07-13 12:47
泄露邮箱密码挺严重的
1.万一smtp用的不是腾讯企业邮箱呢?
2.万一邮箱密码和其他帐号的密码相同呢?
3.万一使用这个邮箱注册过其他东西呢?
……
和泉式部 · 2020-07-13 14:00
( ̄▽ ̄)"我用的网易免费企业邮箱的,单独弄出一个邮箱账号来弄的,所以也无所谓啦
Zhou_216 · 2020-07-13 22:12
不排除其他老哥会有帐号泄露的风险
顺便,我修改了邮件提醒样式,能给我提一些建议么?不知道怎么改了...
和泉式部 · 2020-07-14 09:18
唔,也是呐(´︶`)
邮件样式在我手机上其实显示排版有点问题,回复内容超出了卡片边缘,但是电脑上看的话是一切正常的。然后就是图片加载有点慢,不知道是不是因为我用蓝鸟邮件的问题呢。
Kiwiape · 2020-07-20 21:21
网易和QQ的smtp都是单独授权码,对于这类邮箱问题不大 :@(赞一个)
Kiwiape · 2020-07-20 21:23
另外就是推送邮箱最好单独一个,别拿日常注册的,基本能杜绝大部分安全隐患
幼稚园园长 · 2020-07-26 16:47
阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这阿这
c0sMx · 2020-08-05 16:29
:@(装大款) 忘记删debug.txt,太丢人了。
Jelly · 2020-08-08 23:53
我的天!感谢