Y27-1用友-分析云-PermissionAC
漏洞描述:
用友分析云存在druid未授权访问漏洞,用友分析云默认启动druid,未对druid做登录认证,导致任意用户可直接访问druid,读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。
网站图片:
网络测绘:
fofa语法:
fofaapp=“用友分析云”
漏洞复现:
payload:
http://xx.xx.xx.xx/console/druid/index.html
效果图:
用友分析云存在druid未授权访问漏洞,用友分析云默认启动druid,未对druid做登录认证,导致任意用户可直接访问druid,读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。
fofaapp=“用友分析云”
payload:
http://xx.xx.xx.xx/console/druid/index.html
效果图: