联奕统一身份认证平台 getDataSource 未授权访问

2024年4月22日07:11:222102 views字数 223阅读0分44秒阅读模式

0x01漏洞描

联奕统一身份认证平台 getDataSource 未授权访问,攻击者可通过此漏洞获取敏感信息。

0x02漏洞复现

1、fofa

icon_hash="772658742"

2、利用方式：POST ： /api/bd-mdp/serviceManager/outInterface/getDataSource

联奕统一身份认证平台 getDataSource 未授权访问

0x03修复建议

升级到安全版本

0x04

原文始发于微信公众号（非攻安全实验室）：联奕统一身份认证平台 getDataSource 未授权访问

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Argo Events权限管理不当漏洞

本文由 admin 发表于 2024年4月22日07:11:22
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
联奕统一身份认证平台 getDataSource 未授权访问https://cn-sec.com/archives/2577750.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

评论 2 访客 2

带头大哥 0
2024年7月17日上午11:31 1F
回复

最后来个请加入帮会获取，我服了
- admin
  2024年7月17日上午11:40 B1
  回复
  
  @ 带头大哥 /api/bd-mdp/serviceManager/outInterface/getDataSource ，POST方式，试试