# 泥嚎,世界
这个bug可使用户以admin的身份进入博客后台(控制台),并且正常使用发布编辑文章,上传图片功能,具体如何触发我已邮件告诉你,请留意邮箱(2177522251@qq.com)
作者:以上变是事情的经过,不过非常感谢告知这个漏洞,十分甚至九分严重,github的oidc是不会返回email字段的,导致email和sub字段为空,在查找会使用空的sub进行查找,导致匹配到第一个用户
Summary
|
Copyright: 关于OIDC认证时 没有对提供者返回的邮箱进行校验导致的问题
Unless stated otherwise, articles are licensed under CC BY-NC-SA 4.0. Please credit the source.
4 users liked
Comment (2)
Load more
关于我
S
SnowyKami
A full-stack developer.
Tags cloud
Misskey