BI1XJT Wavelog 2.1.1 及更旧版本存在 DOS 攻击向量,建议使用这些版本的公开实例尽快升级到 Wavelog 2.1.2 或更高版本。 漏洞 POC 的测试结果为,只要可以访问目标网页就可触发。对应 2C 4G 的服务器,单攻击主机可以使服务器崩溃。对于 20C 的服务器,单攻击主机可以使网页无法工作。 我已与 Wavelog 团队商定在一周后(新版本发布两周后)公开披露有关此漏洞的细节。
BI1XJT BI1XJT @ZYT 已经提交了修复 PR:https://github.com/wavelog/wavelog/pull/2433 一开始调试的时候发现保存 QSO 的时候其实是有防抖的,但是我的印象里又记得之前有过连点产生重复 QSO 的情况…… 说明 OM @BI7ALG 没少用 Wavelog 记比赛日志,这个问题实际上目前只存在在竞赛日志记录页面里。😂
闽ICP备2021006864号-7
闽公网安备35020602002794号