OrangeForum 1.4.0打开重定向漏洞

漏洞描述

Orange Forum是一个易于部署的论坛,具有最小的依赖性并且使用非常少的javascript。 它是golang编写的,编译后的二进制文件可用于linux。

Orange Forum 1.4.0版本中的views/auth.go文件存在开放重定向漏洞。攻击者可通过向/login或/signup发送‘next’参数利用该漏洞将用户重定向至任意网站。

解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/s-gv/orangeforum