侧边栏壁纸
博主头像
墨雪飘影博主等级

玫瑰是我偷的,你爱的人是我杀的,不爱你是假的。

  • 累计撰写 55 篇文章
  • 累计创建 16 个标签
  • 累计收到 78 条评论

halo隐患—任意用户可查看任意评论者IP、email等信息

墨雪飘影
2022-03-08 / 0 评论 / 0 点赞 / 915 阅读 / 467 字
温馨提示:
本文最后更新于 2022-04-11,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

在文章页有如下请求:https://blog.shikangsi.cn/api/content/posts/1/comments/tree_view?pages=0&page=0&sort=&size=5&total=0
该请求暴露评论者所有信息
1571907844dd5c9bf15d14ae9bb6bed4f43595fca.png
初步查看,在run.halo.app.repository.base.BaseCommentRepository#findAllByPostIdAndStatusAndParentId(java.lang.Integer, run.halo.app.model.enums.CommentStatus, java.lang.Long, org.springframework.data.domain.Pageable)
使用了findAll,返回所有字段。
建议只返回部分信息,或者置空email、ipAddress、authorUrl三个字段

临时修复:https://blog.shikangsi.cn/archives/halo-comment-bug-fixed

0

评论区