8 Apr
2026
8 Apr
'26
10:50 a.m.
尊敬的厂商大人您好,我于3月27日提交的漏洞到现在已经超过5天时间,希望厂商能尽快回复我审核结果 因为给的公钥地址打不开,所以没有进行加密,给您带来困扰,非常不好意思 以下是复制我之前提交的漏洞内容 漏洞描述:opengauss注册的地方可以填写他人的手机号,并成功进入 复现步骤:1、进入注册页面https://id.opengauss.org/register?redirect_uri=https://opengauss.org/zh/download/&lang=zh,正常填写自己的信息和电话号码,然后发送验证码并填写上去 2、此时将手机号码改为他人的手机号码,发现验证码也没了,没事,在填写一遍之前的验证码 3、此时点击注册,发现注册成功,进入后点击个人中心,发现手机号码是被改之后的号码(注:名字是我先试了一次,写报告时该名字已经被占了就随便乱填的,后面我用178的手机号加上自己设置的密码也是可以正常登录的) 注:以上两个手机号都是我自己的,没有对其他用户造成影响 危害:可以拿别人的手机号在平台上干一些不正经的事,最后拿着别人的手机号也追查不到你,而且还会对那位无辜的手机号主进行骚扰,还可以批量注册电话号码,让别人注册不了,扰乱数据