CVE-2022-38817

最新推荐文章于 2024-01-02 09:18:00 发布
最新推荐文章于 2024-01-02 09:18:00 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiTaiShen/article/details/127290947
版权
本文详细介绍了CVE-2022-38817,这是一个Dapr Dashboard的安全漏洞,允许未经授权的访问者获取云上redis、mongodb、rabbitmq等应用的明文配置,进一步可能导致敏感数据泄露。影响范围包括Dapr Dashboard v0.1.0到v0.10.0。修复措施包括实施严格的白名单访问控制和添加登录身份验证。
摘要由CSDN通过智能技术生成

CVE-2022-38817

此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。

漏洞简介

Dapr Dashboard 存在 未授权访问漏洞,在未经授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息,并可以进一步利用这些配置信息获取云上的敏感数据

漏洞影响

Dapr Dashboard v0.1.0 到 v0.10.0

网络空间测绘语法

"Dapr Dashboard"
icon_hash="-1294239467"

漏洞复现

POC

/configurations

主界面

image-20221012204154895

验证POC

访问 http://ip:port/configurations

了解本专栏 订阅专栏 解锁全文 超级会员免费看
初岄
关注
专栏目录
订阅专栏
Oracle E-Business Suite软件 任意文件上传漏洞(CVE-2022-21587)
0xSec
11-29 1988
Oracle E-Business Suite 的 Oracle Web Applications Desktop Integrator 接口BneViewerXMLService处存在任意文件上传漏洞,未经身份验证的攻击者通过上传恶意的webshell文件,获取服务器权限。
推荐使用:CVE-2023-38817 漏洞 PoC 与分析报告
gitblog_00009的博客
06-17 248
推荐使用:CVE-2023-38817 漏洞 PoC 与分析报告 echoac-poc项目地址:https://gitcode.com/gh_mirrors/ec/echoac-poc 1、项目介绍 该项目是一个PoC(Proof of Concept)和分析报告,针对Inspect Element Ltd(也称为Echo)的echo.ac防作弊扫描工具中的安全漏洞CVE-2023-38817...
K8s攻击案例:Dashboard未授权访问
01-02 591
Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。 (1)攻击场景 在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。 将默认的Kubernetes-dashboard绑定cluster-admin,拥有管理集群管权限 kubectl create clusterrolebind...
CVE-2022-30887漏洞复现
weixin_45177807的博客
11-06 2310
CVE-2022-30887漏洞复现
K8s攻击案例:组件未授权访问导致集群入侵
12-25 8465
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
Apache APISIX Dashboard 未授权访问(CVE-2021-45232 )
m0_54125423的博客
03-01 5189
一、漏洞原理 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。 2021年12月27日,Apache官方发布安全通告,Apache APISIX Dashboard中存在一个未授权访问漏洞(CVE-2021-45232)。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架 "gin "的基础上引入了框架 "d
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞:CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
spring-beans-5.0.2.RELEASE.jar官网下载
01-22
spring-beans-5.0.2.RELEASE.jar官网下载,值得信任,需要的拿走
spring-beans-5.2.0.RELEASE-API文档-中英对照版.zip
07-13
赠送jar包:spring-beans-5.2.0.RELEASE.jar; 赠送原API文档:spring-beans-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-beans-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-beans-5.2.0.RELEASE.pom; 包含翻译后的API文档:spring-beans-5.2.0.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework:spring-beans:5.2.0.RELEASE; 标签:springframework、spring、beans、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
spring-beans-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-beans-5.2.0.RELEASE.jar; 赠送原API文档:spring-beans-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-beans-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-beans-5.2.0.RELEASE.pom; 包含翻译后的API文档:spring-beans-5.2.0.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework:spring-beans:5.2.0.RELEASE; 标签:springframework、spring、beans、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Apache APISIX Dashboard 未授权访问漏洞(CVE-2021-45232)
Bird&Bird
03-13 752
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕
CVE-2022-21882 分析&POC
qq_41252520的博客
04-29 2280
0x0 漏洞描述 该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.csdn.net/qq_41252520/article/details/119349398 主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的 user32!_xxxClientA
Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)
ApacheAPISIX的博客
12-29 2553
在 Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
李孟的博客
04-01 1072
漏洞简述 3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定...
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8887
CVE-2022-33891漏洞原理、环境搭建和复现
cve-2022-41741
最新发布
06-22
CVE-2022-41741是一个安全漏洞的编号,它通常指的是软件中的一个已知安全问题。这种漏洞可能会影响各种系统和应用程序,包括但不限于Web服务器、数据库软件或其他类型的软件。具体的CVE-2022-41741描述可能涉及到代码执行、数据泄露、拒绝服务攻击或其他类型的威胁。 由于我是一个模型,我并不能实时查看最新的漏洞详情。然而,我可以告诉你一般CVE漏洞的含义:CVE代表"Common Vulnerabilities and Exposures"(通用漏洞及暴露),是由美国CERT Coordination Center(CERT/CC)维护的一个数据库,用于记录全球公开的安全漏洞。每个CVE ID都是唯一的,有助于跟踪和理解不同系统的安全状况。 如果你想知道CVE-2022-41741的具体信息,建议查阅相关安全更新、厂商公告或通过权威的安全资源网站(如CVE Details、NVD等)查询最新详情。同时,保持你的系统和软件更新到最新版本,以修复可能存在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

初岄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值