KingPortal开发系统 信息泄露

一、漏洞简介

KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品，是大数据可视化与工业互联网技术融合的产物，KingPortal以自动化技术为起点，以信息集成为突破口，以组件为基础进行Web端可视化组态开发，远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。 KingPortal开发系统存在敏感信息泄露漏洞，攻击者可以通过漏洞访问接口获取系统账号密码、Redis地址及密码等敏感信息，从而影响系统正常运行。

2、影响版本

KingPortal_2.0

3、资产测绘

fofa:
body="/public/javascripts/Common/Util/km_util.js"

4、漏洞复现

/ProjectManager.json
/config/externalConfig.json

五、修复建议

打补丁升级
————————————————————————————————