DATAGerry 终端节点接口敏感信息泄露漏洞复现(CVE-2024–50967)(附脚本)
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。
0x01 产品描述:
DATAGERRY 是一个开源的、基于Web的数据库管理工具,它提供了一个用户友好的界面,用于管理和操作各种类型的数据库。DATAGERRY 旨在简化数据库管理任务,使得即使是没有深厚数据库知识的用户也能够轻松地进行数据的查询、编辑和管理。
0x02 漏洞描述:
DATAGerry 2.2.0 及之前版本中的接口中REST API 端点存在未授权访问漏洞,攻击者无需身份验证即可远程访问该端点,导致敏感信息泄露。该漏洞可能暴露用户权限配置等关键数据,进一步引发权限提升或系统完整性破坏。
0x03 搜索语句:
Fofa:icon_hash="505564403" || ti