Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

portakalnetwork · 7 Aralık 2025

Bugün sunucumda bazı oyuncular, hesaplarına izinsiz giriş yapıldığını bana bildirdi. Yaptığım inceleme sonucunda bu girişlerin belirli tek bir kişi tarafından gerçekleştirildiğini tespit ettim. Hatta piyasada bu konuyla ilgili dolaşan ve yöntemi göstermek karşılığında 25 dolar talep eden ve sunucuma az kalsın sızan kişinin kimliğine de ulaştım.

Bu durum özellikle AuthMeVelocity

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

) kullanan sunucular için ciddi bir güvenlik açığına işaret ediyor. Eğer sunucunuzda AuthMe kullanıyorsanız, acilen farklı bir kimlik doğrulama eklentisine geçmenizi öneririm.
Alternatif olarak, Velocity/BungeeCord üzerinden gelen API isteklerini dinleyen listener’ı AuthMe’nin kaynak kodundan kaldırıp eklentiyi yeniden derlemeniz gerekmektedir.

Velocity üzerinde authme plugini kurulu olmamasına reğmen bu olayı yaşadım.

Olay ilk önce 5454511 isimli hesabına giriş yaparak bir takım şeyler yaptıktan sonra force / admin tipiyle giriş yapıyor ardından isim değiştirerek aynı şeyi tekrarlıyor.
Bu açığı kaynak kodunu editleyerek kapattım dikkatli olunması adına bu paylaşımı yaptım.

Açığı fixledikten sonra aynı kişi tekrar denedi ve artık yapamadı.

portakalnetwork · 7 Aralık 2025

Yeni bir güncelleme: Sorun authme plugininden kaynaklı değil authmevelocity plugininden kaynaklıymış hatalı yazılmış bir kod sebebiyle.

boran3q · 7 Aralık 2025

iyi bir bilgilendirme olmuş eline sağlık fakat tavsiyem LimboAuth kullanmandan yana olacakdır...

KARDINAL. · 7 Aralık 2025

bilgilendirici bir konu elinize sağlık

ImBrother · 7 Aralık 2025

FlameCord kullan kafan rahat olsun. Velocity'nin daha çok böyle açıkları vardır. Sırf daha güncel diye bu ızdırabı kendinize çektirmeyin.

boran3q · 7 Aralık 2025

ImBrother' Alıntı:
FlameCord kullan kafan rahat olsun. Velocity'nin daha çok böyle açıkları vardır. Sırf daha güncel diye bu ızdırabı kendinize çektirmeyin.

şey... böyle bir sorun daha var güncel olmayan şeylerde daha çok sorun çıkıyor ama -_-

ImBrother · 7 Aralık 2025

boran3q' Alıntı:
şey... böyle bir sorun daha var güncel olmayan şeylerde daha çok sorun çıkıyor ama -_-

Koruması olmayan Velocity'i kuracağıma flamecord'u tercih ederim.

Deleted User 832712 · 7 Aralık 2025

ImBrother' Alıntı:
FlameCord kullan kafan rahat olsun. Velocity'nin daha çok böyle açıkları vardır. Sırf daha güncel diye bu ızdırabı kendinize çektirmeyin.

Velocity'de açık yok bu açık AuthmeVelocity plugininden dolayı oluyor, FlameCord kadar kolay bypass edilebilen başka bir şey görmedim.

Flamecord ve bungee alt yapısı kullanan diğer forkları kullanmak Paper yerine Spigot kullanmak ile aynı şey insanlara yanlış bilgi verme.

ILoveMaju^^ · 7 Aralık 2025

noobfly' Alıntı:
Bugün sunucumda bazı oyuncular, hesaplarına izinsiz giriş yapıldığını bana bildirdi. Yaptığım inceleme sonucunda bu girişlerin belirli tek bir kişi tarafından gerçekleştirildiğini tespit ettim. Hatta piyasada bu konuyla ilgili dolaşan ve yöntemi göstermek karşılığında 25 dolar talep eden ve sunucuma az kalsın sızan kişinin kimliğine de ulaştım.

Bu durum özellikle AuthMe kullanan sunucular için ciddi bir güvenlik açığına işaret ediyor. Eğer sunucunuzda AuthMe kullanıyorsanız, acilen farklı bir kimlik doğrulama eklentisine geçmenizi öneririm.
Alternatif olarak, Velocity/BungeeCord üzerinden gelen API isteklerini dinleyen listener’ı AuthMe’nin kaynak kodundan kaldırıp eklentiyi yeniden derlemeniz gerekmektedir.

Velocity üzerinde authme plugini kurulu olmamasına reğmen bu olayı yaşadım.

Olay ilk önce 5454511 isimli hesabına giriş yaparak bir takım şeyler yaptıktan sonra force / admin tipiyle giriş yapıyor ardından isim değiştirerek aynı şeyi tekrarlıyor.
Bu açığı kaynak kodunu editleyerek kapattım dikkatli olunması adına bu paylaşımı yaptım.

Ekli dosyayı görüntüle 276251

Ekli dosyayı görüntüle 276252

Açığı fixledikten sonra aynı kişi tekrar denedi ve artık yapamadı.

Ekli dosyayı görüntüle 276253

İyi yakalamıșsınız dikkatli olmakta fayda var

BloodyX · 9 Aralık 2025

noobfly' Alıntı:
Bugün sunucumda bazı oyuncular, hesaplarına izinsiz giriş yapıldığını bana bildirdi. Yaptığım inceleme sonucunda bu girişlerin belirli tek bir kişi tarafından gerçekleştirildiğini tespit ettim. Hatta piyasada bu konuyla ilgili dolaşan ve yöntemi göstermek karşılığında 25 dolar talep eden ve sunucuma az kalsın sızan kişinin kimliğine de ulaştım.

Bu durum özellikle AuthMeVelocity

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

) kullanan sunucular için ciddi bir güvenlik açığına işaret ediyor. Eğer sunucunuzda AuthMe kullanıyorsanız, acilen farklı bir kimlik doğrulama eklentisine geçmenizi öneririm.
Alternatif olarak, Velocity/BungeeCord üzerinden gelen API isteklerini dinleyen listener’ı AuthMe’nin kaynak kodundan kaldırıp eklentiyi yeniden derlemeniz gerekmektedir.

Velocity üzerinde authme plugini kurulu olmamasına reğmen bu olayı yaşadım.

Olay ilk önce 5454511 isimli hesabına giriş yaparak bir takım şeyler yaptıktan sonra force / admin tipiyle giriş yapıyor ardından isim değiştirerek aynı şeyi tekrarlıyor.
Bu açığı kaynak kodunu editleyerek kapattım dikkatli olunması adına bu paylaşımı yaptım.

Ekli dosyayı görüntüle 276251

Ekli dosyayı görüntüle 276252

Açığı fixledikten sonra aynı kişi tekrar denedi ve artık yapamadı.

Ekli dosyayı görüntüle 276253

Nasıl fixlenecegi hakkında detaylı bilgi paylaşım.yapsaydiniz daha iyi.olurdu en azından başkaları daha erken onlem alırdı.

portakalnetwork · 9 Aralık 2025

BloodyX' Alıntı:
Nasıl fixlenecegi hakkında detaylı bilgi paylaşım.yapsaydiniz daha iyi.olurdu en azından başkaları daha erken onlem alırdı.

O kadar detayı paylaşmam pek mümkün değil sadece authmenin forcelogin apisini kaynak kodundan sildim. Authmevelocity pluginin yapımcısına ulaştım bir sonraki güncellemede bunu düzeltecektir.

Deleted User 832712 · 9 Aralık 2025

BloodyX' Alıntı:
Nasıl fixlenecegi hakkında detaylı bilgi paylaşım.yapsaydiniz daha iyi.olurdu en azından başkaları daha erken onlem alırdı.

AuthmeVelocity kullanmayarak

BloodyX · 9 Aralık 2025

JuAris' Alıntı:
AuthmeVelocity kullanmayarak

“Bu söylediğin çözüm değil, kaçamak laf. ‘AuthMeVelocity kullanma’ demekle iş bitse herkes dahi olurdu. Eğer gerçekten bir bilgin varsa ortaya koy, yoksa boş tavsiye vermiş oluyorsun

Deleted User 832712 · 9 Aralık 2025

BloodyX' Alıntı:
“Bu söylediğin çözüm değil, kaçamak laf. ‘AuthMeVelocity kullanma’ demekle iş bitse herkes dahi olurdu. Eğer gerçekten bir bilgin varsa ortaya koy, yoksa boş tavsiye vermiş oluyorsun

Bu adamın sadece AuthmeVelocity değil SignedVelocity gibi eklentilerindede açıklar var 4drian3d yaptığı eklentileri kullanmayın bunun yerine LimboAuth, aAuth ve nLogin gibi kaliteli eklentileri kullanın.

(@Exlienty yazdığım her şeyi sildiği için yeniden yazmak zorunda kaldım)

Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

portakalnetwork

Fırında Isıttığım İlk Taş

portakalnetwork

Fırında Isıttığım İlk Taş

boran3q

Lapis Niye Mavi?

KARDINAL.

Bir Kömür Göründü Kaptanım!

ImBrother

Fırında Isıttığım İlk Taş

boran3q

Lapis Niye Mavi?

ImBrother

Fırında Isıttığım İlk Taş

Deleted User 832712

Odunlara Vur Vur Vur!

ILoveMaju^^

Her Bahar Aşık Olurum Rüzgar Olur Yağmur Olurum

BloodyX

Berkon Teknoloji Grup A.Ş

portakalnetwork

Fırında Isıttığım İlk Taş

Deleted User 832712

Odunlara Vur Vur Vur!

BloodyX

Berkon Teknoloji Grup A.Ş

Deleted User 832712

Odunlara Vur Vur Vur!

Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

Fırında Isıttığım İlk Taş

Fırında Isıttığım İlk Taş

Lapis Niye Mavi?

Discord:

Bir Kömür Göründü Kaptanım!

Discord:

Fırında Isıttığım İlk Taş

Lapis Niye Mavi?

Discord:

Fırında Isıttığım İlk Taş

Odunlara Vur Vur Vur!

Her Bahar Aşık Olurum Rüzgar Olur Yağmur Olurum

Discord:

Berkon Teknoloji Grup A.Ş

Discord:

Fırında Isıttığım İlk Taş

Odunlara Vur Vur Vur!

Berkon Teknoloji Grup A.Ş

Discord:

Odunlara Vur Vur Vur!

Hala Discord sunucumuza katılmadın mı?