前言
本文存在的意义:
给新人避坑这些 bug 的同时催修
状态说明:
【已立项】:提交了工单并得到“已反馈”回复
【已修复】:已经修复此问题
【未跟踪】:提交了工单并得到“已反馈”回复后 7 天工单自动关闭,并且没有收到任何反馈(由于未跟踪到进度所以可能该问题已被修复)
【未复现】:无法复现的 BUG 导致无法总结触发条件,故未汇报的问题
应用升级 BUG【未跟踪】
原因:【推测】后端更新了 k8s 的 deployment 后没有根据新版本的配置更新前端选项
云应用升级后如果设置项出现更新,并不会在前端显示
复现方法
云应用-应用模板-创建模板-创建版本-在“选项配置”处新建一个选项A
云应用-应用模板-创建模板-创建版本-在“选项配置”处再次新建一个选项B
云应用-我的项目-所使用的项目-应用管理-更新
更新项目后选项B不会出现在前端面板上
上架版本 BUG【已立项,未跟踪】
原因:【推测】查询新版本时没有使用正确的 where 约束
未上架的应用版本依然可以被用户使用
云应用页面 BUG 【已修复】
原因:未知
点击id的排序按钮后表格顺序不会发生改变
云应用版本号 BUG【已修复】
原因:前端未正确转义导致
版本号中带有“+”,创建的版本为0.1.0-common+latestwp,版本号符合语义化版本2.0规范语义化版本 2.0.0 | Semantic Versioning
但是在URL编码中,加号“+”会被认为是空格“ ”,请求确实携带了版本号?version=0.1.0-common+latestwp,但是由于URL编解码,实际请求到后端的version字段值是“0.1.0-common latestwp”,所以出现报错,将“+”手动转义为%2B后请求则成功
此 BUG 奖励我 8K 积分
安装云应用报错【未跟踪】
原因:未验证用户输入,导致文件名包含空格引发后端报错
POST:https://api.v2.rainyun.com/product/rca/app/
请求负载:
{"appstore_release_id":12858,"cpu_limit":500,"memory_limit":256,"project_id":10393,"env":{"VARNISH_SIZE":"2G","ENV_WIND_HTTP_PORT":""},"options":{"VARNISH_SIZE":"2G","ENV_WIND_HTTP_PORT":"41525"},"services":{"access":41525},"service_type":"external","service_ip":""}
响应:
{"code":10010,"message":"上游无法正常完成请求,请稍后再试或提交工单反馈~"}
云应用鉴权漏洞【已修复】
此漏洞通过构造特殊请求体可间接窃取用户所安装的数据库应用的连接信息及授权信息
通过工具创建特殊的、携带 type=apps 类型的选项并提交后并未进行鉴权就会成功保存,导致普通用户使用此有风险的功能
此漏洞赏了我 20K 积分
NOTE: 存在危险性,故修复后放出。
