Moin
8. August 2025 um 15:48
4
Ich kann mich nicht erinnern, dass der Link jemals ohne einen Locale-Parameter funktioniert hat
/admin/customize/site_texts?q=confirm%20old&locale=en funktioniert für mich einwandfrei.
Und ich denke, die Tatsache, dass Sie den Text „confirm old email“ nicht anpassen können, ist beabsichtigt. Es ist eine E-Mail, die nur an das Personal gesendet wird.
codinghorror:
Jedoch
hat die alte E-Mail-Bestätigungsvorlage für Mitarbeiter bearbeitet , sodass sie den Link „Ja, bestätige diese alte E-Mail-Änderung“ enthielt, und sobald dies an die alte E-Mail-Adresse gesendet und geklickt wurde, hatte der Hacker plötzlich die Erlaubnis, die alte E-Mail-Adresse in eine neue zu ändern, die er kontrolliert
Beachten Sie, dass dies ein sehr ausgeklügelter, tiefgreifender Angriff ist und auf vielen Ebenen mit bereits dringend empfohlenen Praktiken hätte gestoppt werden können. Lesen Sie einfach die Hinweise mit der Glühbirne
Dennoch glauben wir bei Discourse fest daran, standardmäßig sicher zu sein, und wir denken, dass wir nach sorgfältiger Analyse dieser Geschichte noch mehr tun können. Infolgedessen haben wir gerade eine Änderung implementiert (Link ), sodass niemand , nicht einmal ein Administrator, diese spezielle E-Mail-Vorlage ändern kann. Wir glauben, dass es sich um einen seltenen Fall handelt, der es aber wert ist, angegangen zu werden, weil:
Diese spezielle E-Mail-Vorlage wird nur an Mitarbeiter gesendet, wenn die E-Mail geändert wird, da sowohl die alte als auch die neue E-Mail-Adresse bestätigt werden müssen. Für einen normalen Benutzer muss nur die neue E-Mail-Adresse bestätigt werden. Das Ändern dieser Vorlage aus kosmetischen Designgründen würde also nur von Mitarbeitern gesehen werden, niemals von normalen Benutzern, und ist daher unwichtig.
Das Risiko, Administratoren die Änderung dieser Vorlage zu erlauben, ist zu hoch, wie die obige ECHTE WELT-Geschichte zeigt, die tatsächlich passiert ist und der entscheidende Schritt war, der dem Angreifer den Zugriff auf die vollständige Discourse-Datenbank ermöglichte.
2 „Gefällt mir“
