[漏洞]downhash过短可被穷举泄露passkey

北京时间 2024-09-13 18:22 有报告存在 downhash 过短能被穷到正确的 downhash 从而从响应结果中获得用户 passkey 的问题。现已采取报告者提出的方案使用 jwt 代替 hashids,代码已经提交。大家可以直接下载此文件覆盖,或者根据此提交记录自行修复。

注意:如果报错 JWT 找不到之类,请先安装 passport。停机,执行:

composer require "laravel/passport": "^11.10"

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注