漏洞描述
KongA 是 Kong 的一个 GUI 工具。KongA 带来的一个最大的便利就是可以很好地通过UI观察到现在 Kong 的所有的配置,并且可以对于管理Kong 节点情况进行查看、监控和预警。其使用JWT进行身份验证,且默认密钥固定写在代码中,攻击者可以构造JWT token绕过身份验证,访问授权的接口和文件。
konga 身份绕过漏洞(CVE-2023-39846)
PoC代码
暂无相关漏洞推荐
- POC CVE-2020-11710: Kong Admin <=2.03 - Admin API Access
- POC CVE-2021-42192: KONGA 0.14.9 - Privilege Escalation
- POC CVE-2020-11710: Kong API Gateway Unauthorized
- POC konga-default-jwt-key: KONGA Arbitrary user login vulnerability
- POC kongsoft-vgm-antivirus-wall-rce: 金山 VGM防毒墙 downFile.php 任意文件读取
- POC shikongzhiyou-formservice-sqli: 时空智友企业流程化管控系统SQL注入漏洞
- POC yunshikong-erp-file-upload: 云时空ERP文件上传
- POC kong-manager-exposure: Kong Manager OSS/Admin - Exposure
- Kong API Gateway 未授权访问漏洞 2
- Kong API Gateway 未授权访问漏洞 1
- 开源云原生API网关 Kong信息泄露(CVE-2020-11710)
- kong-Admin API-未授权访问