若依管理系统 未授权访问

漏洞描述

若依管理系统使用了Druid 默认开启了匿名访问,导致未授权获取敏感信息

漏洞影响

[!NOTE]

若依管理系统

FOFA

[!NOTE]

app="若依-管理系统"

漏洞复现

源码中看到 pom.xml 文件中查看到引用了 阿里Druid

从 issues 中发现了默认存在的未授权访问

Url为

http://xxx.xxx.xxx.xxx/prod-api/druid/index.html

Goby & POC

[!NOTE]

RuoYi Druid Unauthorized access

PeiQi WiKi文库 all right reserved,powered by Gitbook文件更新时间: 2021-05-20 23:44:42

results matching ""

    No results matching ""