关联漏洞
标题:Theonedev Onedev 信息泄露漏洞 (CVE-2021-21246)描述:Theonedev Onedev是Theonedev团队的一个基于JAVA的多合一DevOps平台。该平台支持容器构建、编排、CI、Git管理、团队协作等功能,帮助开发者构建一个简单、功能强大的开发平台。 Theonedev Onedev before version 4.0.3 存在信息泄露漏洞,攻击者可利用该漏洞访问敏感数据。
描述
OneDev before version 4.0.3 contains an insecure endpoint that allows retrieval of arbitrary user details, including access tokens, due to missing security checks on /users/{id}, letting attackers leak sensitive data and impersonate users, exploit requires no special conditions.
文件快照
id: CVE-2021-21246
info:
name: OneDev < 4.0.3 - User Access Token Leak
author: DhiyaneshDk
se
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。