开源CDN Goedge被发现鉴权漏洞,泄露了包括用户身份证件在内的大量图片
继被曝出官方投毒后,有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的,但是goedge却没有判断这个字段,还是可以公开访问。
目前只有一个临时解决方案,在数据库执行这个这个命令,把证件附件的状态改一下(改了后就访问不了,审核的时候也看不到),这个bug还需要goedge那边进行修复
UPDATE edgefiles SET state = 0 WHERE type = ‘user.idcard’;
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
方能和安捷自家用的都是Goedge,随便爬一下拿到不少身份证正反面和营业执照的图片。
—— kunkunk
又一个自建CDN工具 GoEdge 出现“官方”投毒现象
从超哥(其开发者)写出 GoEdge 至今,版本更迭到 v1.3.9 。这套 CDN 系统被许多 CDN 商家采用,毕竟它开源又免费,却在今年 4 月被请去喝茶后,goedge[.]cn 便重定向至 goedge[.]cloud ,而 goedge[.]cn 的备案号被注销、转出,甚至 whois 主体发生变化。
而超哥在 QQ 群的最后消息为 2024 年5月20日。之后5月24日发布的包中则带有上文提到的 cdn[.]jsdelivr[.]vip 的内容于节点( edge-node )的二进制文件中,一直到今日发版的 v1.4.1 。查了一下 cdn[.]jsdelivr[.]vip 的 cname 指向,猜测和方能那伙人是同一伙。可以说 js 代码跳 h 站就是这群人干的。
有群友发现 GoEdge v1.3.9 的编译环境为 go1.21.10 ,与目前最新版的环境不同。故引发大家对 GoEdge 被出售的猜测。而超哥用于销售商业版的淘宝店铺关闭,转而要客户前往 Telegram 进行购买。据群友所描述,客服态度怠慢。
有群友进行二进制分析,发现 edge-node v1.4.1 版本二进制文件中存在上述恶意代码。但 GoEdge 客服在其 Telegram 群中表示“不信谣不传谣”后开始踢人。随后对 v1.4.1 重新编译,发布了无毒版本的 GoEdge v1.4.1。由于许多人在使用该产品的时候,时不时跳 h 站。若您是 2024 年 5 月 24 日之后安装的 v1.3.9 (或更高版本),请立即更新。虽然刚刚官方发了 v1.4.1 的修正版本,一旦信任崩塌就难以重建。
· 扩展阅读:探寻 Staticfile、BootCDN、Polyfill 投毒背后的始作俑者
—— V2EX Nyarime