Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

ZoneMC · 10 Aralık 2025

noobfly' Alıntı:
Bugün sunucumda bazı oyuncular, hesaplarına izinsiz giriş yapıldığını bana bildirdi. Yaptığım inceleme sonucunda bu girişlerin belirli tek bir kişi tarafından gerçekleştirildiğini tespit ettim. Hatta piyasada bu konuyla ilgili dolaşan ve yöntemi göstermek karşılığında 25 dolar talep eden ve sunucuma az kalsın sızan kişinin kimliğine de ulaştım.

Bu durum özellikle AuthMeVelocity

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

) kullanan sunucular için ciddi bir güvenlik açığına işaret ediyor. Eğer sunucunuzda AuthMe kullanıyorsanız, acilen farklı bir kimlik doğrulama eklentisine geçmenizi öneririm.
Alternatif olarak, Velocity/BungeeCord üzerinden gelen API isteklerini dinleyen listener’ı AuthMe’nin kaynak kodundan kaldırıp eklentiyi yeniden derlemeniz gerekmektedir.

Velocity üzerinde authme plugini kurulu olmamasına reğmen bu olayı yaşadım.

Olay ilk önce 5454511 isimli hesabına giriş yaparak bir takım şeyler yaptıktan sonra force / admin tipiyle giriş yapıyor ardından isim değiştirerek aynı şeyi tekrarlıyor.
Bu açığı kaynak kodunu editleyerek kapattım dikkatli olunması adına bu paylaşımı yaptım.

Ekli dosyayı görüntüle 276251

Ekli dosyayı görüntüle 276252

Açığı fixledikten sonra aynı kişi tekrar denedi ve artık yapamadı.

Ekli dosyayı görüntüle 276253

Paylaşım için teşekkürler, ciddi bir konuya dikkat çekmişsin. AuthMeVelocity tarafında özellikle Velocity–backend arası doğrulamanın doğru kilitlenmediği durumlarda bu tarz istismarlar uzun süredir konuşuluyordu ama birçok sunucu sahibi pek ciddiye almıyordu.

Özellikle şuna dikkat çekmen önemli:
Velocity üzerinde AuthMe kurulu olmasa bile, backend tarafında açık kalan listener / API akışı üzerinden bu tarz yetki kötüye kullanımları mümkün olabiliyor. Bu da “proxy’de yoksa sorun yoktur” düşüncesinin ne kadar yanlış olduğunu gösteriyor.

Kaynak koddan listener’ı kaldırıp yeniden derleme çözümü teknik olarak doğru ama herkesin yapabileceği bir şey değil maalesef. Bu yüzden AuthMeVelocity kullanan sunucuların ya:

alternatif bir doğrulama sistemine geçmesi
ya da en azından proxy–backend iletişimini ekstra kısıtlamalarla güvene alması şart

Böyle somut örnekle paylaşım yapılması önemli, çünkü çoğu kişi bu konuları ancak iş işten geçince fark ediyor. Elinin emeğiyle açığı kapatıp uyarmışsın, tekrardan geçmiş olsun ve teşekkürler.

boran3q · 11 Aralık 2025

noobfly' Alıntı:
Bugün sunucumda bazı oyuncular, hesaplarına izinsiz giriş yapıldığını bana bildirdi. Yaptığım inceleme sonucunda bu girişlerin belirli tek bir kişi tarafından gerçekleştirildiğini tespit ettim. Hatta piyasada bu konuyla ilgili dolaşan ve yöntemi göstermek karşılığında 25 dolar talep eden ve sunucuma az kalsın sızan kişinin kimliğine de ulaştım.

Bu durum özellikle AuthMeVelocity

Değerli ziyaretçimiz, içeriği görebilmek için şimdi giriş yapın veya kayıt olun.

) kullanan sunucular için ciddi bir güvenlik açığına işaret ediyor. Eğer sunucunuzda AuthMe kullanıyorsanız, acilen farklı bir kimlik doğrulama eklentisine geçmenizi öneririm.
Alternatif olarak, Velocity/BungeeCord üzerinden gelen API isteklerini dinleyen listener’ı AuthMe’nin kaynak kodundan kaldırıp eklentiyi yeniden derlemeniz gerekmektedir.

Velocity üzerinde authme plugini kurulu olmamasına reğmen bu olayı yaşadım.

Olay ilk önce 5454511 isimli hesabına giriş yaparak bir takım şeyler yaptıktan sonra force / admin tipiyle giriş yapıyor ardından isim değiştirerek aynı şeyi tekrarlıyor.
Bu açığı kaynak kodunu editleyerek kapattım dikkatli olunması adına bu paylaşımı yaptım.

Ekli dosyayı görüntüle 276251

Ekli dosyayı görüntüle 276252

Açığı fixledikten sonra aynı kişi tekrar denedi ve artık yapamadı.

Ekli dosyayı görüntüle 276253

merhaba nasıl fixliyeceğimiz hakkındada bilgilendirirseniz gerçekden çok memnun olurum

portakalnetwork · 30 Ocak 2026

BloodyX' Alıntı:
“Bu söylediğin çözüm değil, kaçamak laf. ‘AuthMeVelocity kullanma’ demekle iş bitse herkes dahi olurdu. Eğer gerçekten bir bilgin varsa ortaya koy, yoksa boş tavsiye vermiş oluyorsun

Sorunun çözümü, Velocity tarafında AuthMeVelocity eklentisini kullanmamam sebebinden kaynaklı olduğunu, bu hatayı düzelterek Velocity tarafına da aynı eklentiyi kurarak bu açığı kapattık. Demem o ki, sadece backend sunucularında bu plugin bulunuyor ve Velocity sunucusuna kurulum yapılmazsa bu açık doğuyor ve oyuncu sahte paket yollayarak bu izni delebiliyormuş.

portakalnetwork · 30 Ocak 2026

boran3q' Alıntı:
merhaba nasıl fixliyeceğimiz hakkındada bilgilendirirseniz gerçekden çok memnun olurum

Fixleme kısmını AuthMe açık kanyak kodlu olduğu için başta kaynak kodundan forcelogin paket yöneticisini kapatarak plugini o şekilde .jar olarak derleyerek buldum ancak sorunun çözümü Velocity sunucusuna aynı plugini kurmamaktan kaynaklıymış.

Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

ZoneMC

Bir Kömür Göründü Kaptanım!

boran3q

Lapis Niye Mavi?

portakalnetwork

Fırında Isıttığım İlk Taş

portakalnetwork

Fırında Isıttığım İlk Taş

Paylaşım AuthMeVelocity Açığından dolayı az kalsın müzdarip oluyordum!

ZoneMC

Bir Kömür Göründü Kaptanım!

Discord:

boran3q

Lapis Niye Mavi?

Discord:

portakalnetwork

Fırında Isıttığım İlk Taş

portakalnetwork

Fırında Isıttığım İlk Taş

Hala Discord sunucumuza katılmadın mı?