[漏洞]downhash过短可被穷举泄露passkey

显示全部楼层 · 发表于 2024-9-15 20:41:55

   北京时间 2024-09-13 18:22 有报告存在 downhash 过短能被穷到正确的 downhash 从而从响应结果中获得用户 passkey 的问题。现已采取报告者提出的方案使用 jwt 代替 hashids，代码已经提交。大家可以直接下载此文件覆盖，或者根据此提交记录自行修复。

   更新于 2024-09-14 02:04：

   注意：如果报错 JWT 找不到之类，请先安装 passport。停机，执行：

   composer require "laravel/passport": "^11.10"

https://nexusphp.org/2024/09/14/ ... ely-leaked-passkey/

显示全部楼层 · 发表于 2024-9-21 04:52:22

没出现过，不过既然有解决方法了，就是出现也不怕了，谢谢

显示全部楼层 · 发表于 2024-10-14 12:04:59

有修复办法就不是事儿了！

[软件相关] [漏洞]downhash过短可被穷举泄露passkey