乌云漏洞报告平台发布了一条皮皮时光机的漏洞,该漏洞可导致用户密码被任意修改。 近期,乌云漏洞报告平台的白帽子发现了皮皮时光机的一个漏洞,该漏洞可导致任意用户的密码被修改。皮皮时光机又是微博大V聚集地,该漏洞可间接劫持各种大号。
如果用户在皮皮精灵绑定了微博,即可使用用户帐号发送微博。
问题出在“找回密码”功能上。利用一个
表单,重置任意用户的密码,从而控制微博帐号,来发表任意内容。
目前,该漏洞已经反馈给皮皮精灵,厂商表示会尽快修复,以保证用户帐号安全。
时间: 2024-09-20 17:26:13