漏洞描述
Crawlab 后台 /api/users接口存在未授权访问,控制者可通过该接口创建任意账户获取后台权限。
Crawlab /users 任意管理用户创建漏洞
PoC代码
暂无相关漏洞推荐
- wordpress /wp-json/wp/v2/users 信息泄露漏洞
- Nacos /nacos/v1/auth/users/login 默认口令漏洞
- Nacos /nacos/v1/auth/users 权限绕过漏洞(CVE-2021-43116)
- POC crawlab-any-adduser-and-anyfile-read: Crawlab users 任意用户添加漏洞 任意文件读取漏洞
- POC crawlab-lfi: Crawlab - Arbitrary File Read
- NIPS 绿盟网络入侵防护系统 /api/config/users.json 信息泄漏漏洞
- 短视频矩阵营销系统 /index.php/admin/usersite/usersit_add 文件上传漏洞
- GitLab /users/sign_in 默认口令漏洞
- Alibaba Nacos /users 权限绕过漏洞
- 泛微OA E-Cology /messager/users.data 信息泄漏漏洞
- 来客PHP在线客服系统 /admin/users/upavatar.html 任意文件上传漏洞
- Portainer /api/users/admin/check 未授权访问漏洞(CVE-2018-19367)
- Mirth Connect /api/users 反序列化远程代码执行漏洞 (CVE-2023-43208)