OKlite后台存在文件上传漏洞（CNVD-2020-26481）

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2020-05-06

漏洞描述

Geth/Parity是以太坊的节点代理。 该漏洞源于以太坊节点 Geth/Parity RPC API 鉴权缺陷，恶意调用 eth_sendTransaction 盗取代币。攻击者可以利用该漏洞窃取他人代币。

解决建议

更改默认的 RPC API 端口，配置方法如：--rpcport 8377 或 --wsport 8378更改 RPC API 监听地址为内网，配置方法如：--rpcaddr 192.168.0.100 或 --wsaddr 192.168.0.100配置 iptables 限制对 RPC API 端口的访问，举例：只允许 192.168.0.101 访问 8545 端口：iptables -A INPUT -s 192.168.0.101 -p TCP --dport 8545 -j ACCEPTiptables -A INPUT -p TCP --dport 8545 -j 账户信息（keystore）不要存放在节点上 （因为账户不在节点上，所以就不会用到 unlockAccount 了）任何转账均用 web3 的 sendTransaction 和 sendRawTransaction 发送私钥签名过的 transaction私钥物理隔离（如冷钱包、手工抄写）或者高强度加密存储并保障密钥的安全

参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2020-26481

CVSS3评分 N/A

• 攻击路径 N/A
• 攻击复杂度 N/A
• 权限要求 N/A
• 影响范围 N/A
• 用户交互 N/A
• 可用性 N/A
• 保密性 N/A
• 完整性 N/A

N/A

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com