漏洞概述 该漏洞涉及一个未授权访问问题,攻击者可以通过发送特定的HTTP请求,获取到敏感信息。具体来说,攻击者可以通过访问 接口,获取到系统的健康状态信息,包括数据库连接状态、Redis连接状态等。 影响范围 受影响系统:所有未对 接口进行权限控制的系统。 影响程度:攻击者可以获取到系统的健康状态信息,可能用于进一步攻击或评估系统的安全性。 修复方案 1. 权限控制:对 接口进行权限控制,确保只有授权用户才能访问。 2. 信息隐藏:如果健康状态信息不需要对外公开,可以考虑隐藏或限制访问。 3. 监控和日志:增加对 接口的访问监控和日志记录,以便及时发现异常访问行为。 POC代码 响应示例