从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Access token from query string is inserted into logs - 发布者:br41nslug - CVE编号:CVE-2024-47822 - 严重性:Moderate (4.2 / 10) - 受影响版本:< 10.13.2, < 11.1.0 - 已修复版本:10.13.2, 11.1.0 2. 漏洞细节: - 描述:访问令牌从查询字符串中未被红黑化,并且可能在系统日志中被暴露,这些日志可能被持久化。 - 摘要:当 设置为 时,查询字符串中的访问令牌未被红黑化。如果这些日志未被妥善保护或红黑化,攻击者可能通过访问这些日志获得管理员权限,导致未经授权的数据访问和操纵。 - PoC: 1. 设置 在环境变量中。 2. 发送一个请求,其中包含 在查询字符串中。 3. 注意到查询字符串中的 未被红黑化。 - 影响:影响那些将 设置为 的系统。查询字符串中的访问令牌可能是一个长期的静态令牌。受影响的用户应该如果使用查询字符串提供静态令牌,则应定期更换静态令牌。 3. CVSS v3基元: - 攻击向量:本地 - 攻击复杂性:低 - 特权要求:高 - 用户交互:需要 - 范围:不变 - 机密性:高 - 完整性:无 - 可用性:无 4. 漏洞编号: - CWE编号:CWE-532 5. 报告者:licitdev 这些信息可以帮助理解漏洞的性质、影响范围以及如何利用漏洞。