特斯拉安全工程团队披露漏洞后,比特币支付处理器BTCPay Server发布了新版本。
因此,建议任何运行版本低于v.1.0.7.1的BTCPay Server用户更新您的实例。 特斯拉高级安全工程师Aaditya Purani说,
“为我在BtcpayServer上的发现分配了6个CVE。 重点包括通过结合两个错误(在某些情况下)执行预身份验证远程代码。 感谢BtcpayServer的迅速补救措施。 请将您的实例更新到v1.1.0。”
特斯拉的安全工程团队在对漏洞进行调查和确认后,于4月19日首次报告了这些漏洞。 BTCPay Server和特斯拉的团队一起修复了这些漏洞。
今天发布了新修补的版本v1.0.7.1。
漏洞包括CVE-2021-29251,这是一个严重的漏洞,它允许恶意部分生成一封电子邮件,要求向受害者重置密码。 如果受害者单击,则可以接管目标帐户。
在CVE-2021-29246中,BTCPay Server未正确验证上传表单中的文件名,这可能导致上传的文件保存在服务器上的任意位置。 CVE-2021-29250与销售点功能中的XSS漏洞相关。
另一个CVE-2021-29245允许生成可用于生成新发票的旧版API密钥,并且在Payjoin中选择UTXO使用的是较弱的RNG。
CVE-2021-29247涉及缺少httponly,而CVE-2021-29248允许远程攻击者获取敏感信息。
BTCPay Server说:“我们要感谢特斯拉提交了导致这些修复的信息并帮助我们进行了补救,” BTCPay Server表示。BTCPayServer现在正在研究创建赏金赏金计划,作为改善安全流程的一种方法。
今年早些时候,特斯拉宣布持有其价值数十亿美元的比特币,随后又开始接受BTC作为付款。 该公司将不再持有现金,而是将其转换为现金。
特斯拉披露漏洞后,BTCPay服务器发布新版本的帖子首次出现在BitcoinExchangeGuide上。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。