漏洞描述 Gurock TestRail版本<7.2.0.3014中的访问控制不当导致敏感信息暴露。威胁参与者可以访问GurockTestRail应用程序客户端上的/files.md5文件,公开应用程序文件的完整列表和相应的文件路径,然后可以对其进行测试,在某些情况下会导致硬编码凭据、API密钥或其他敏感数据的泄漏。
相关漏洞推荐 POC CVE-2021-40875: Gurock TestRail Application files.md5 Exposure POC testrail-install: TestRail Installation Wizard