【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

0x01 漏洞描述

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户端、仅支持PC机、组态开发效率低、运行效果差等已满足不了市场需求。而目前工业监控领域的Web端产品,大多定制开发,维护难度大、周期长,需要工程师掌握高级语言,开发门槛高,不能有效解决Web和移动端的数据展示的综合问题。

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。

发现KingPortal运行系统存在未授权访问漏洞,泄露系统相关敏感信息,如id密钥等等,可能造成信息泄露后的未授权访问等严重危害,建议厂商尽快修复。

0x02 空间测绘

搜索语句
Hunter: web.similar_icon=="14138228322413032254"
【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

0x03 漏洞复现

Get访问:/getConfigInfo

0x04 修复意见

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。

1、请联系厂商进行修复。

 2、如非必要,禁止公网访问该系统。 

3、设置白名单访问。

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容