0x01 漏洞描述
随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户端、仅支持PC机、组态开发效率低、运行效果差等已满足不了市场需求。而目前工业监控领域的Web端产品,大多定制开发,维护难度大、周期长,需要工程师掌握高级语言,开发门槛高,不能有效解决Web和移动端的数据展示的综合问题。
北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。
发现KingPortal运行系统存在未授权访问漏洞,泄露系统相关敏感信息,如id密钥等等,可能造成信息泄露后的未授权访问等严重危害,建议厂商尽快修复。
0x02 空间测绘
搜索语句
Hunter: web.similar_icon=="14138228322413032254"
0x03 漏洞复现
Get访问:/getConfigInfo
0x04 修复意见
北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。
1、请联系厂商进行修复。
2、如非必要,禁止公网访问该系统。
3、设置白名单访问。
暂无评论内容