Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Please do not post a message for the purpose of insulting, incitement to hatred, sexual remarks and any other which does not respect our terms of use !
Sign in to follow this  
Akushi

 débat Cloudcms - non sécurisé

Recommended Posts

Donateur

Ayant télécharger quelque CMS gratuit venant de cloudcms.fr j'ai remarqué un petit soucis que sont créateur à mis volontairement.

 

Please login or register to see this code.

 

Sont créateur à instaurer ceci une " API " pour pouvoir gérer les CMS et le fonctionnement du CMS, mais comme vous pouvez le remarquer il à volontairement mis un système pour ce rank

 

Comment il exploite ceci ?

 

Le fichier api.php est accéssible par n'importe qui mais personne n'a le paramètres $_GET['key'] mise à pars lui il lui suffis de l'entrer comme montrer dans l'example ci dessous est il seras rank et peux aussi fermer l'accès à votre site si vous ne savez pas ou ces c'est situé dans la table cloudcms_api remetter la colonne server sur open

 

/!\ Ceci ne sert à rien d'essayé d'exploité cette faille car vous ne connaissez pas le deuxième paramètres $_GET['key'] qui est nécessaire pour faire fonctionner cette faille /!\

 

Please login or register to see this link. OnNeSaisPas

 

Avec ce lien et la clé qu'il à définit il peut ce rank sur n'importe qu'elle rétro utilisant ces CMS alors je ne vous conseille absolument pas d'utiliser ces CMS.

 

Comment fixé vous allez me dire ?

 

Très simple aller à la racine de votre dossier la ou est situé votre CMS est supprimer le fichier nommé api.php

 

Merci à @ NathanDZC de lui aussi l'avoir remarquer, oui ne critiquez pas mon orthographe sa n'a jamais était mon fort.

Share this post


Link to post
Share on other sites
Admin
Admin
    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

Share this post


Link to post
Share on other sites
VIP

Ils devraient avoir honte de faire ce genre de choses :ah:

Share this post


Link to post
Share on other sites
Premium

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

Share this post


Link to post
Share on other sites
Donateur
il y a 2 minutes, 7evenGiven a dit :

Bonjour à tous,

Je partage ici un communiqué afin de résoudre cette fausse rumeur.

En aucun cas CloudCMS a été crée pour nuire à ces utilisateurs.

Cette API est programmée et commandée sous mes ordres et uniquement par moi.

Moi seul en ayant la permission du fondateur du rétro-habbo utilisant nos services peut avoir un accès total au site, j'entends uniquement par là (accès administration).

En aucun cas, la clé de sécurité est exploitable, celle-ci est renouvelée toutes les heures. 

Je vois aussi que cette rumeur inquiète bon nombre d'entre-vous, c'est compréhensible, mais malheureusement cette rumeur est démenti.

@ Akushi poste un sujet sans même en parler avec moi afin de lui faire comprendre que non, ce n'est pas une faille, mais un outil d'aide.

Afin d'éviter que cela se reproduire, CloudCMS va recevoir une MAJ dans la matinée qui informera les clients de cette "API" dans nos services dans la catégorie "À propos de notre site".

Nous nous excusons pour la gêne occasionnée, encore une fois comme l'a dit @ Akushi si vous refusez la confiance de CloudCMS, supprimer le fichier API.php

 

Merci pour votre confiance que vous portez à l'attention de CloudCMS.

À très vite.

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

Share this post


Link to post
Share on other sites
Premium
à l’instant, Akushi a dit :

 

Sa reviens au même sa reste une faille de sécurité facilement exploitable par des personnes s'y connaissant une parole reste une parole tu as accès à n'importe quel rétro ne dis pas que tu as uniquement accès  à l'administration plus emu est codé de façon à ce que plus ton rang est haut plus tu as de permissions les permissions sont pas gérable si tu met toutes les permissions au 7 le rang 8 auras toutes les permissions du rang 7 donc tu peux clairement avoir accès à tout ce qui est complétement dégelasse de la part d'un vendeur de cms déjà illégale de base pourquoi en parler ? Tu n'avertis pas les utilisateurs de ce genre de faille et c'est clairement pas normal quand un fichier et la il est censée être dis vous dîtes sécurisé il n'y à rien de sécurisé dans sa.

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

Share this post


Link to post
Share on other sites
Donateur
il y a 1 minute, 7evenGiven a dit :

Je n'ai pas accès aux permissions PlusEMU mais encore une fois uniquement à l'administration et sous l'accord du fondateur.

Je n'ai jamais exploité un de nos clients et ça n'arrivera pas.

Tu appelles ça comme tu veux, je ne considère ça nullement comme une faille (fixe et inséré exprès).

 

Encore une fois, nos clients vont être avertis, il n'y a pas de souci.

La sécurité de cette clé est primordiale, je ne vais pas le répéter 30 fois, celle-ci est assuré par CloudCMS.

Je ne vais pas m'éterniser là-dessus, je fais un plus gros communiqué tout à l'heure dans la matinée.

 

Fais donc ce que tu veux ce genre de fichier n'est pas imposable et devrait juste être proposer à pars.

Share this post


Link to post
Share on other sites
Donateur

Ca change rien de ou tu met une API sal shlag va mdrr 

"UN OUTILS D'AIDE" Tu veux faire croire ca a qui a Gaultier de HabboDev ? 

Cest vraiment pitoyable, je ne sais même pas pourquoi des gens s'amuse à payé sur ton site alors que tt les cms on etait partagé. Sauf celuis de city qui a etait "fixer" et Habbox qui lui de demande que de l'argent  ou des connaissances avec certains dev . 

Bref n'achetez rien chez lui, cest encore un mec chelou à qui faut pas faire confiance.

Une api d'aide, nan mais on aura tt vu dans cette commu.

 

Pytoyable

Share this post


Link to post
Share on other sites
Premium

Please login or register to see this link.

Un communiqué a été mis à disposition afin de mieux comprendre le fonctionnement de cette API.

Afin de clôturer définitivement cette fakenews.

Please login or register to see this link.

Share this post


Link to post
Share on other sites
Admin
Admin
    Salut Akushi ,
    Ton sujet a été déplacé pour une des deux raisons suivantes :

    - Ta demande a été résolue.

    - Ton sujet se trouvait dans la mauvaise catégorie.

        
      Ceci est un message automatique.

Share this post


Link to post
Share on other sites
Premium

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

Share this post


Link to post
Share on other sites
Donateur
il y a 37 minutes, Stown a dit :

Effectivement, il s'agit bien d'une faille pour vous nuire, je vous déconseille fortement d'utiliser les cms de cloudcms sous peine de vous faire hacker votre rétro.

 

Le code est clairement explicite.

 

Oui bien sûr sont auteur nie tous cela la clé est choisis par lui pas par le client et le fichier est imposée hors il devrait être non imposable et la clé devrait être choisis par sont fondateur pas par le vendeur

Share this post


Link to post
Share on other sites
Vétéran

Je ne vois pas trop l’intérêt de cette 'api' car si t'es clients ont un soucis pourquoi avoir accès à l'administration ? 
Et le Shutdown j'en vois pas l'intérêt non plus. 
Moi je vais pas m'avancer et dire que cela et de mauvaise fois, mais vous devriez faire un pack "Assistance" a insérer la FTP à la demande du Fondateur / Client du rétro.
Ou bien une possibilité pour le fondateur du rétro d'activer l'exploitation de l'api depuis son administration.

C'est vrai que la manque d'information apporte un doute sur la sincérité de cette "api" puisqu'il a fallu attendre que ce soit découvert par tierce personne.

Share this post


Link to post
Share on other sites
Premium
Il y a 2 heures, 7evenGiven a dit :

Please login or register to see this link.

Un communiqué a été mis à disposition afin de mieux comprendre le fonctionnement de cette API.

Afin de clôturer définitivement cette fakenews.

Please login or register to see this link.

Tellement tu es en panique, on a accès à tous les emails à qui tu as envoyé ton 'communiqué'

Share this post


Link to post
Share on other sites
Vétéran

CloudCMS, se sert des API pour prendre les données de votre rétro décevant surtout savoir que @ 7evenGiven et au final @ TheoDEV ( soit disant ).

Share this post


Link to post
Share on other sites
Vétéran

Merci @ Akushi de l'avoir découvert et surtout de l'avoir dit, en espérant que ta découverte avertissent beaucoup de gens concernant Cloudcms. Surprenant surtout d'un vendeur de faire se genre de chose. Au passage j'ai pu découvrir aussi que j'avais notament un fichier API le même que le tient dans le cms que j'ai téléchargé la bah. Merci ;) 

Share this post


Link to post
Share on other sites
Vétéran

Pour info, les CMS payant ont aussi cette API.

Share this post


Link to post
Share on other sites
Premium

ça m'étonne pas de la part d'un mec qui fait des reproductions de CMS sans l'accord des développeurs 

Share this post


Link to post
Share on other sites
Premium
Il y a 6 heures, Python a dit :

ça m'étonne pas de la part d'un mec qui fait des reproductions de CMS sans l'accord des développeurs 

et qui y ajoute son copyright...

Share this post


Link to post
Share on other sites
Premium
Il y a 22 heures, Stown a dit :

et qui y ajoute son copyright...

Rien qu'il reproduit le CMS de HabboZone sans ton accord :ahah:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...