无描述...

漏洞描述

F-logic DataCube3 是一款用于数据管理和分析的软件，广泛应用于企业级数据处理。

在 F-logic DataCube3 的前端管理界面中，存在一个未授权访问漏洞。攻击者通过访问admin/config_all.php页面，尽管会遇到302重定向，但页面中包含的HTML代码中嵌入了configData对象，该对象包含了大量敏感配置信息，例如管理员账号密码等。

示例泄露信息中包含了如下配置项：

• 管理员账号密码：login.admin_id 和 login.admin_pwd
• 其他敏感配置信息：如备份路径、控制请求间隔、控制结果超时时间、控制步长、控制时间、串口通信配置、网络配置、NTP服务器配置、电力公司信息、服务器配置等。

POC

http://your-ip/admin/config_all.php

• 访问admin/config_all.php页面，通过分析返回的HTML代码，提取configData对象中的敏感信息。