CVE-2018-20586 和 RPC 身份驗證

我正在閱讀有關 CVE-2018-20586 的資訊，它允許通過https://medium.com/@lukedashjr/cve-2018-20586-disclosure-ff3e1ab9a21f中的 RPC 將任意數據注入調試日誌

我無法理解的一件事：

利用此漏洞不需要 RPC 服務的有效身份驗證（使用者名/密碼/cookie），只需要連接到 RPC 埠（預設情況下僅暴露給本地電腦）的能力。

這種無需身份驗證即可連接到 RPC 埠的能力是否仍然存在，因為我上次嘗試在本地發送POST 請求時必須使用基本身份驗證？

當它說“連接”時，它指的是 TCP/IP 意義上的連接。該漏洞只要求您能夠打開bitcoind與 RPC 埠的 TCP/IP 連接，這甚至在任何身份驗證概念發揮作用之前。

並不是說可以在沒有身份驗證的情況下發送 JSON-RPC 命令bitcoind（這是不可能的）。攻擊發生在身份驗證發生之前。

引用自：https://bitcoin.stackexchange.com/questions/107114