若依管理系统_未授权访问-棉花糖会员站

若依管理系统_未授权访问

7月15日发布

0260

# 若依管理系统未授权访问

## 漏洞描述

若依管理系统使用了Druid 默认开启了匿名访问，导致未授权获取敏感信息

## 漏洞影响

> 若依管理系统

## FOFA

> app=”若依-管理系统”

## 漏洞复现

源码中看到 pom.xml 文件中查看到引用了阿里Druid

![](/static/qingy/若依管理系统_未授权访问/img/ruoyi-8.png)

从 issues 中发现了默认存在的未授权访问

![](/static/qingy/若依管理系统_未授权访问/img/ruoyi-9.png)

Url为

“`
http://xxx.xxx.xxx.xxx/prod-api/druid/index.html
“`

![](/static/qingy/若依管理系统_未授权访问/img/ruoyi-10.png)

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

喜欢就支持一下吧

相关推荐

评论抢沙发

请登录后发表评论

请登录后查看评论内容