首页 > 数据库 >腾讯TDSQL接口未授权访问信息泄露(CVE-2023-42387)

腾讯TDSQL接口未授权访问信息泄露(CVE-2023-42387)

时间:2023-10-07 18:32:43浏览次数:47  
标签:info 访问信息 return string TDSQL 数据库 conf 2023 port

腾讯TDSQL接口未授权访问信息泄露

CVE-2023-42387

漏洞地址: http://tdsql-xxxxxxx.com/tdsqlpcloud/index.php/api/install/get_db_info

漏洞描述: tdsql赤兔管理平台,api接口存在未授权返回数据库明文配置信息。

漏洞详情: 代码审计

1,访问上述接口。

2,得到明文账号密码,登录数据库。

漏洞版本: 赤免管理台 V1.8.9-1 bdffe65

修复建议:

class Install extends API_Controller{ public function __construct(){ parent::__construct(false); --修改为true } /**

获取数据库访问信息 @author kevenchen @type GET/POST @return string ip 数据库IP @return string port 数据库端口 @return string user 数据库账号 @return string pwd 数据库密码 @example {url} / public function get_db_info(){ – public修改为protect $this->config->load(‘database’); $dbconfs = $this->config->item(‘dbconfs’); $dbdefault = $this->config->item(‘dbdefault’); $conf = 腾讯TDSQL接口未授权访问信息泄露(CVE-2023-42387)_sqldbdefault]; $info = array( ‘ip’ => $conf[‘hostname’], ‘port’ => $conf[‘port’], ‘user’ => $conf[‘username’], ‘pwd’ => 腾讯TDSQL接口未授权访问信息泄露(CVE-2023-42387)_sql_02info); } /*

标签:info,访问信息,return,string,TDSQL,数据库,conf,2023,port
From: https://blog.51cto.com/u_16289972/7741085

相关文章

  • 背单词 首字母 2023年10月
    2023-10-07tspusmspgotedpttar,slay,pilgrim,utmost,satirical,misapprehension,scorn,paddle,groom,occasion,tuberculosis,exclamation,drum,pager,turnip2023-10-06cscaffhdphsciamcircus,syndrome,claw,administrate,foam,fretful,harry,drugstore,pe......
  • 英语背单词 专四词汇 2023年10月 ChatGPT
    2023-10-072023-10-062023-10-052023-10-042023-10-032023-10-022023-10-01Explainthemeaningofthefollowingwordsalongwithindexandphoneticsymbol:lighter,stool,submission,motorway,falter,gipsy,confrontation,surgical,ripple,ratio,shillin......
  • 2023-2024-1 学号20231329 《计算机基础与程序设计》第2周学习总结
    这个作业属于哪个课程https://edu.cnblogs.com/campus/besti/2023-2024-1-CFAP这个作业的要求在哪里https://www.cnblogs.com/rocedu/p/9577842.html#WEEK02这个作业的目标计算机科学概论第1章并完成云班课测试《C语言程序设计》第1章并完成云班课测试作业正......
  • 2023-2024-1 20231320 《计算机基础与程序设计》第二周学习总结
    2023-2024-120231320《计算机基础与程序设计》第二周学习总结作业信息这个作业属于哪个课程<班级的链接>(2023-2024-1-计算机基础与程序设计)这个作业要求在哪里<作业要求的链接>(2022-2023-1计算机基础与程序设计第一周作业)这个作业的目标<自学《计算机基础与......
  • 2023-10-07:用go语言,给定n个二维坐标,表示在二维平面的n个点, 坐标为double类型,精度最多
    2023-10-07:用go语言,给定n个二维坐标,表示在二维平面的n个点,坐标为double类型,精度最多小数点后两位,希望在二维平面上画一个圆,圈住其中的k个点,其他的n-k个点都要在圆外。返回一个圆心和半径,表示哪个圆可以圈住其中的k个点。坐标和半径都是double类型,最多保留小数点后两位。下面......
  • 2023年软考-系统架构设计师论文预测
    2023年11月4日软考-系统架构设计师论文预测:微服务:一种云原生架构方法,在单个应用中包含众多松散耦合且可单独部署的小型组件或服务层次风格:数据访问层、业务逻辑层、表示层基于架构的软件开发:ABSD有三个基础,功能拆分、架构风格、使用软件模板。它强调由商业、质量和功能需求的组合驱......
  • Step by step guide to becoming a C++ developer in 2023
    https://roadmap.sh/cpphttps://roadmap.sh/backend......
  • 20231006
    23/10/06NOIP模拟赛总结时间安排7:40-8:00看题8:00-9:00写T1,写了个极限复杂度\(n^2\)的代码,没想到优化,但感觉数据不会很严。9:00-10:00写T3,T4暴力,但两个暴力都挂了。10:00-11:00想T1\(O(n\log\n)\)的方法,就是没想到倒着枚举。11:00-11:35写了T2全为+的数据,发......
  • 再谈 qbxt2023国庆刷题 Day7 T2 树
    T2倍增+换根即可,但赛时难写赛时想得线段树二分,也可from:https://www.cnblogs.com/fox-konata/p/17742669.html回头一看老师代码,发现换根换的非常神奇,长见识了方法0:第一次思考,以为要记录走排名为\(a_x\)和\(a_x+1\)的两个倍增数组,但发现并不好合并,也许可以憋出来,但还是......
  • 2023 年 10 月训练记录
    训练记录10月了。CF457FAneasyproblemabouttrees尝试理解,感谢cz_xuyixuan的题解。我们不妨先二分答案,将\(\gemid\)的设为\(1\),\(<mid\)的设为\(0\),于是问题转化为了权值均为\(0/1\)的版本。我们称一棵树的大小为其非叶节点数。我们称一棵大小为奇数的树为奇......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99