Sigurnosni dnevnik.
Nalaze objavljujemo nakon što su popravljeni i provjereni — kratak sažetak, nikada recept za exploit. Vremena popravka stoje uz svaki zapis.
Što se dogodilo.
Interna revizija prije pokretanja programa
Dana 15. srpnja 2026. započeli smo internu sigurnosnu provjeru CreateYourVPN-a. Ispravci koje smo dovršili i ponovno provjerili objavljeni su u nastavku; slijede i drugi, kako se budu uvodili i potvrđivali.
— CreateYourVPN timDodana zaštita od nesigurne cross-origin konfiguracije
Trenutna production konfiguracija nije dopuštala proizvoljne origins, no kôd je dopuštao opasnu kombinaciju parametara ako bi je operater pogrešno postavio. Ta se kombinacija sada odbija pri pokretanju i pokrivena je automatiziranim testom.
— CreateYourVPN timSmanjena javna površina production API-ja
Interaktivna tehnička dokumentacija API-ja bila je dostupna bez autentifikacije. Nije davala pristup zaštićenim podacima, ali je olakšavala proučavanje interne strukture API-ja. U production dokumentacija je sada onemogućena, dok ostaje dostupna u izoliranom okruženju za razvoj.
— CreateYourVPN timKriptografski ključevi platforme razdvojeni prema namjeni
Interna je provjera utvrdila da se jedna tajna koristila za dva različita kriptografska zadatka. To nije stvaralo izravno zaobilaženje, ali je proširivalo posljedice kompromitacije ključa. Dvije su namjene razdvojene i svaka se sada rotira neovisno.
— CreateYourVPN timZajamčeno brisanje upravljačkog ključa nakon brisanja poslužitelja
Brisanje šifriranog upravljačkog ključa izvodilo se nakon mrežnih operacija u pozadini i moglo se ne ponoviti ako bi one zakazale. Odvojili smo brisanje ključa od mrežne kaskade i dodali zajamčeno ponavljanje. Scenariji nedostupnog poslužitelja i prekinutog procesa pokriveni su testovima.
— CreateYourVPN timUklonjen neiskorišten put autorizacije partnerskog API-ja
API je podržavao dodatni put autorizacije zasnovan na cookie, koji trenutnoj server-side arhitekturi nije bio potreban. U production nije pronađen nijedan cross-site napad, no dodatni je put proširivao površinu za buduće pogreške. API sada koristi jedinstvenu, izrijekom definiranu metodu autorizacije, pokrivenu negativnim testovima.
— CreateYourVPN timŠto ovdje spada.
Sažeci i vremenski slijedovi
Bit nalaza, klasa ranjivosti, datum prijave i datum popravka. Ako je nalaz pobio SR tvrdnju — javni ispravak izvještaja.
Recepti za exploit
Upute korak po korak, PoC kôd i detalji koji bi pomogli u napadu na druge servere prije nego što se svi ažuriraju.
Pronašli ste nešto?
Pišite nam s ponovljivim proof of conceptom. Odgovaramo u roku od 72 sata i trijažu obavljamo interno.