标签： CDN

开源CDN Goedge被发现鉴权漏洞，泄露了包括用户身份证件在内的大量图片

继被曝出官方投毒后，有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件（主控端也一样）
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的，但是goedge却没有判断这个字段，还是可以公开访问。
目前只有一个临时解决方案，在数据库执行这个这个命令，把证件附件的状态改一下（改了后就访问不了，审核的时候也看不到），这个bug还需要goedge那边进行修复

UPDATE edgefiles SET state = 0 WHERE type = ‘user.idcard’;

根据以上规则，写个脚本就可以批量拿到该系统上传的所有图片文件。

方能和安捷自家用的都是Goedge，随便爬一下拿到不少身份证正反面和营业执照的图片。

—— kunkunk

又一个自建CDN工具 GoEdge 出现“官方”投毒现象

从超哥（其开发者）写出 GoEdge 至今，版本更迭到 v1.3.9 。这套 CDN 系统被许多 CDN 商家采用，毕竟它开源又免费，却在今年 4 月被请去喝茶后，goedge[.]cn 便重定向至 goedge[.]cloud ，而 goedge[.]cn 的备案号被注销、转出，甚至 whois 主体发生变化。

而超哥在 QQ 群的最后消息为 2024 年5月20日。之后5月24日发布的包中则带有上文提到的 cdn[.]jsdelivr[.]vip 的内容于节点（ edge-node ）的二进制文件中，一直到今日发版的 v1.4.1 。查了一下 cdn[.]jsdelivr[.]vip 的 cname 指向，猜测和方能那伙人是同一伙。可以说 js 代码跳 h 站就是这群人干的。

有群友发现 GoEdge v1.3.9 的编译环境为 go1.21.10 ，与目前最新版的环境不同。故引发大家对 GoEdge 被出售的猜测。而超哥用于销售商业版的淘宝店铺关闭，转而要客户前往 Telegram 进行购买。据群友所描述，客服态度怠慢。

有群友进行二进制分析，发现 edge-node v1.4.1 版本二进制文件中存在上述恶意代码。但 GoEdge 客服在其 Telegram 群中表示“不信谣不传谣”后开始踢人。随后对 v1.4.1 重新编译，发布了无毒版本的 GoEdge v1.4.1。由于许多人在使用该产品的时候，时不时跳 h 站。若您是 2024 年 5 月 24 日之后安装的 v1.3.9 （或更高版本），请立即更新。虽然刚刚官方发了 v1.4.1 的修正版本，一旦信任崩塌就难以重建。

· 扩展阅读：探寻 Staticfile、BootCDN、Polyfill 投毒背后的始作俑者

—— V2EX Nyarime