[0day]私信无限越权查看漏洞

@James
漏洞表现：使用/api/whisper/conversations/<编号，任意正整数>可以查看到私信的内容，无论是谁的，无论是否包含你，而且据我所知，目前编号总数不超过3500.

~~已尝试的解决方案：我能怎么解决？把nl打爆让大家看不到吗~~
可能的风险：中奖之后使用脚本透过代理集群扫描全部私信搜索凭据，然后直接拿走定期扫描所有私信得到类似NLPay的、使用nodeloc验证码登录的网页应用权限或者更多
建议处理方式：暂时禁止私信插件，修好了再开。

这个问题必须立即得到解决。

我看下

#2 James 我建议先发公告要求停止使用私信颁发奖品，我刚才都看到了某人的infini.money卡密，而且竟然还能登上（已完全退出并删除记录，而且看卡号要验证码）

#3 defaultuser6 已经修了，再试下。

#4 James 错误代码是500（建议403
虽然修好了，但是不够优雅（）
话说汇报0day有奖励吗（）

#5 defaultuser6 其实后台是抛出的 throw new PermissionDeniedException;

#6 James 666
这就是NL速度（bs）
我要奖励（迫真）

看来的渗透一波了，先打个洞看看

#8 Hiram 兄啊，现在都修好力

#9 defaultuser6
这不得先扫一波，看看有没有漏网之鱼，然后到放弃

#10 Hiram 草（）
懒得扫了

#11 defaultuser6 下次先私信，修复之后再放出来。。。

#12 James 下回我发tg吧(
毕竟是0day，sorry

#12 James 密码我就说我怎么打开私信就炸
Image description

#13 defaultuser6
这不得先搞一个cve编号，哈哈哈哈

#14 Hiram 大草，隔壁tcn表示不服——要能搞cve编号，tcn都能占一页了（iframe xss 全屏div 频道号加入 sio越权监听 ~~你还可以发现更多~~）

#16 ‏[已注销]
@James 似乎过度修复了，现在全都是500