op3kitt
Results
2
issues of
op3kitt
ユーザーがログイン中のプレイルームのパスワードが変更された場合、 パスワードの入力欄の値をサーバーから通知されたcrypt済みの値に変更します。 プレイルームの情報をchangePlayRoomコマンドで変更した時に、 新しいパスワードとcrypt済みのパスワードの文字列が一致した場合、 ユーザーはパスワードの内容を変更していないのでプレイルームのパスワードを変更しません。
部屋内で行えるほとんどのコマンドについて、パスワードなしに実行が可能になっています。 実行可能コマンドにchangePlayRoomを含むため、パスワードを変更してしまえば全てのコマンドが実行可能になります。 msgpackの利用設定がされていない場合、POSTデータでも一部の実行が可能なためより深刻だと思われます。