若依管理系统 未授权访问
漏洞描述
若依管理系统使用了Druid 默认开启了匿名访问,导致未授权获取敏感信息
漏洞影响
[!NOTE]
若依管理系统
FOFA
[!NOTE]
app="若依-管理系统"
漏洞复现
源码中看到 pom.xml 文件中查看到引用了 阿里Druid
从 issues 中发现了默认存在的未授权访问
Url为
http://xxx.xxx.xxx.xxx/prod-api/druid/index.html
Goby & POC
[!NOTE]
RuoYi Druid Unauthorized access