从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:未授权API揭示用户名(Unauthenticated API Discloses Usernames)。 - 受影响版本:ZimaOS <= v1.2.4。 - 修复版本:1.2.5。 2. 漏洞详情: - 漏洞影响:未授权用户可以访问敏感信息,如用户名,无需任何授权。 - 漏洞利用:攻击者可以利用此漏洞枚举用户名并利用它们进行进一步的攻击,如暴力破解或钓鱼攻击。 3. PoC: - 漏洞利用示例:发送GET请求到端点 。 - 示例响应: 。 4. 影响: - 用户枚举:攻击者可以收集用户名,用于密码暴力破解或针对性钓鱼攻击。 - 进一步利用:此问题可能导致其他更容易被利用的漏洞,特别是在应用程序中存在基于用户名的访问控制。 5. 推荐措施: - 访问控制:实施适当的访问控制,要求身份验证和授权访问用户特定的端点。 - 角色基访问:强制执行基于角色的访问检查,确保只有授权用户可以访问敏感数据,如用户名。 6. CVSS评分: - 严重性:中等(5.3/10)。 - 攻击向量:网络(Network)。 - 攻击复杂性:低(Low)。 - 权限要求:无(None)。 - 用户交互:无(None)。 - 影响:低(Low)。 - 可用性:无(None)。 7. CVE编号:CVE-2024-48932。 8. 弱点:CWE-284。 9. 贡献者:DrDark1999。