【原创】(CVE-2024-8417)云课网络科技有限公司 Yunke Online School System <= V1.5.5 敏感信息泄露漏洞
当前为私密分享,无需登录即可查看。
| 时间 |
|---|
| 2024-08-06 10:47:54 |
CVE-2024-8417
Created: 09/04/2024 12:05 PM
Changes: 09/04/2024 12:05 PM (56)
Submitter: 聪明的墨菲特@wiki
漏洞描述
云课网络科技有限公司开发的云课网校系统版本 <= V1.5.5 时存在未授权访问漏洞。
通过未授权访问阿里云aksk填写页面,攻击者可以获取到aksk信息,进而可能导致系统被接管。
资产测绘
"/static/libs/common/jquery.stickyNavbar.min.js"
POC
阿里云akas填写页面未授权访问导致akas泄露可以直接接管
访问/admin/educloud/videobind.html
https://open.yunknet.cn/admin/educloud/videobind.html
使用行云管家或者其他工具接管
