一、漏洞简介
KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。 KingPortal开发系统存在敏感信息泄露漏洞,攻击者可以通过漏洞访问接口获取系统账号密码、Redis地址及密码等敏感信息,从而影响系统正常运行。
2、影响版本
KingPortal_2.0
3、资产测绘
fofa:
body="/public/javascripts/Common/Util/km_util.js"
4、漏洞复现
/ProjectManager.json
/config/externalConfig.json
五、修复建议
打补丁升级
————————————————————————————————