服务器漏洞检测报告
一、http://170:6001/(高风险)
1. Apache Solr 管理界面未授权访问(严重)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 未授权访问 |
| 漏洞编号 | CT-597171 |
| 漏洞描述 | Apache Solr 管理界面未授权访问 |
| 漏洞首次发现时间 | 2025-01-06 18:32:34 |
| 漏洞最近发现时间 | 2025-05-26 11:34:41 |
| 漏洞危害 | 攻击者可在没有认证的情况下直接操作对应的 API 接口,可直接被非法增删改查数据。且因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。 |
| CVSS 评分 | 8.6 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/ 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://170:6001/ |
2. Apache Solr 远程代码执行漏洞(CNVD-2023-27598)(严重)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 代码注入 |
| 漏洞编号 | CT-683953, CNVD-2023-27598 |
| 漏洞描述 | Apache Solr 的stream.url功能存在SSRF漏洞。攻击者可通过构建恶意请求来读取Solr服务器上的文件或发起内网请求,结合其他相关特性,可造成远程代码执行 |
| 漏洞首次发现时间 | 2025-01-06 18:13:28 |
| 漏洞最近发现时间 | 2025-05-26 11:35:07 |
| 漏洞危害 | 攻击者可在应用处通过利用拼接、管道符、通配符等绕过手段来执行任意命令,写入后门,从而入侵服务器,获取服务器权限,直接导致服务器沦陷。 |
| CVSS 评分 | 9.8 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/admin/cores 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://170:6001/ |
3. Apache Solr 利用 ContentStreams 任意文件读取漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 文件读取 |
| 漏洞编号 | CT-158741 |
| 漏洞描述 | Apache Solr 在未开启认证的情况下,攻击者可利用Config API远程开启特定配置,并读取任意系统文件。影响范围:Apache Solr <= 8.8.1 |
| 漏洞首次发现时间 | 2025-01-06 18:41:56 |
| 漏洞最近发现时间 | 2025-05-26 11:35:33 |
| 漏洞危害 | 如果系统未对读取/下载文件的文件目录做限制,攻击者利用此漏洞可直接读取web目录下任意文件,比如配置文件、数据库文件等,甚至直接获取服务器上任意文件内容。 |
| CVSS 评分 | 7.5 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/admin/cores 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://170:6001/ |
4. CVE-2017-3164: Apache Solr SSRF漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 逻辑错误 |
| 漏洞编号 | CT-46121, CVE-2017-3164, CNNVD-201902-575 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 1.3版本至7.6.0版本中存在服务器端请求伪造漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。 |
| 漏洞首次发现时间 | 2025-01-06 18:30:03 |
| 漏洞最近发现时间 | 2025-05-26 11:35:37 |
| 漏洞危害 | 攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。 |
| CVSS 评分 | 7.5 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://170:6001/ |
5. CVE-2019-17558: Apache Solr Velocity 模板注入漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 其他 |
| 漏洞编号 | CT-54341, CVE-2019-17558, CNVD-2020-00500, CNNVD-201912-1225 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.0.0版本至8.3.1版本中存在注入漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。 |
| 漏洞首次发现时间 | 2025-01-06 18:23:08 |
| 漏洞最近发现时间 | 2025-05-26 11:34:49 |
| 漏洞危害 | 可能造成造成信息泄露,业务系统不稳定等安全问题 |
| CVSS 评分 | 7.5 |
| 修复方案 | 在确保业务不受影响的前提下,可以暂时拦截对/solr/admin/cores接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 升级产品至最新版本以修复漏洞。 |
| 漏洞位置 | http://170:6001/ |
6. CVE-2021-27905: Apache Solr leaderUrl ContentStreams 存在SSRF漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | SSRF |
| 漏洞编号 | CT-152181, CVE-2021-27905, CNVD-2021-27717, CNNVD-202104-914 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.8.2之前版本存在代码问题漏洞,攻击者可利用masterUrl参数将索引数据复制到本地内核中。 |
| 漏洞首次发现时间 | 2025-01-06 18:30:49 |
| 漏洞最近发现时间 | 2025-05-26 11:35:07 |
| 漏洞危害 | 1、可以对外网、服务器所在内网、本地端口扫描,获取开放端口信息;主机信息收集,web 应用指纹识别,获取服务 banner 信息等; 2、攻击内外网的 Web 应用,主要是使用 Get 参数就可以实现的攻击(比如 Struts2 漏洞利用,SQL 注入等); 攻击运行在内网或本地的应用程序(比如溢出); 3、根据识别出的应用针对性的发送 payload 攻击,例如 struts2、redis、攻击内网、本地的应用程序及服务等;穿越防火墙; 4、利用 file 等其他允许协议进行绕过攻击,比如利用 file 协议读取本地文件(file:///etc/passwd) |
| CVSS 评分 | 7.3 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对/solr/admin/cores接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本。 |
| 漏洞位置 | http://170:6001/ |
7. Apache Solr /admin/info/properties 敏感信息泄漏漏洞(中危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-1107818 |
| 漏洞描述 | Apache Solr /admin/info/properties 存在敏感信息泄漏 |
| 漏洞首次发现时间 | 2025-01-06 18:40:34 |
| 漏洞最近发现时间 | 2025-05-26 11:35:20 |
| 漏洞危害 | 如果被攻击者利用,有利于攻击者对系统进行信息收集,与其他问题搭配提升危害 |
| CVSS 评分 | 5.3 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://170:6001/ |
8. CVE-2023-50290: Apache Solr Metrics 环境变量信息泄漏漏洞(中危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-1046782, CVE-2023-50290, CNNVD-202401-1254 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 9.0.0至9.3.0之前版本存在信息泄露漏洞,该漏洞源于存在敏感信息泄露漏洞。 |
| 漏洞首次发现时间 | 2025-01-06 18:16:43 |
| 漏洞最近发现时间 | 2025-05-26 11:34:45 |
| 漏洞危害 | 如果被攻击者利用,有利于攻击者对系统进行信息收集,与其他问题搭配提升危害 |
| CVSS 评分 | 6.5 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://170:6001/ |
9. 网页暗链(低危)*2
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 其他 |
| 漏洞编号 | CT-638874 |
| 漏洞描述 | 暗链也称黑链,即隐蔽链接,是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。 一般来说,暗链是由攻击者入侵网站后植入的,暗链在网页页面上不可见或者极易被忽略,但是搜索引擎仍然可以通过分析网页的源代码收录这些链接,如果有大量网站甚至一些高权重的网站都链向它们,积少成多,可以迅速提高权重,获得高额流量。 |
| 漏洞首次发现时间 | 2025-05-26 11:34:22 |
| 漏洞最近发现时间 | 2025-05-26 11:34:22 |
| 漏洞危害 | 可能造成造成信息泄露,业务系统不稳定等安全问题 |
| CVSS 评分 | 0 |
| 修复方案 | 建议尽快修复安全问题,并做好安全管理工作,定期进行安全巡检,最大程度地避免安全问题。 |
| 漏洞位置 | 1) http://170:6001/ 2) http://170:6001/ |
10. HTML 信息泄露漏洞(低危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-638341 |
| 漏洞描述 | HTML 响应中注释可能存在这重要的内容,开发者应该在上线之前经过统一处理去除所有的注释,以防信息泄露。 |
| 漏洞首次发现时间 | 2025-05-26 11:34:20 |
| 漏洞最近发现时间 | 2025-05-26 11:34:20 |
| 漏洞危害 | 造成用户信息,站点配置信息等敏感信息泄露。 |
| CVSS 评分 | 5.3 |
| 修复方案 | 如果非必要,将 HTML 内的注释删除 |
| 漏洞位置 | http://170:6001/ |
11. 不安全的 HTTP 通信模式漏洞(低危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 不安全的配置 |
| 漏洞编号 | CT-637555 |
| 漏洞描述 | 服务器使用 http 而非使用 https 进行数据交换 |
| 漏洞首次发现时间 | 2025-01-06 18:00:56 |
| 漏洞最近发现时间 | 2025-05-26 11:35:58 |
| 漏洞危害 | 攻击者可以窃取和篡改传输的数据,可能造成敏感信息泄露等安全问题 |
| CVSS 评分 | 6.5 |
| 修复方案 | 启用HTTPS,使用SSL/TLS协议对数据进行加密和保护,提高服务器和用户之间的通信安全 |
| 漏洞位置 | http://170:6001/ |
二、http://172:6001/(高风险)
1. Apache Solr 管理界面未授权访问(严重)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 未授权访问 |
| 漏洞编号 | CT-597171 |
| 漏洞描述 | Apache Solr 管理界面未授权访问 |
| 漏洞首次发现时间 | 2025-01-06 18:46:14 |
| 漏洞最近发现时间 | 2025-05-26 11:33:24 |
| 漏洞危害 | 攻击者可在没有认证的情况下直接操作对应的 API 接口,可直接被非法增删改查数据。且因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。 |
| CVSS 评分 | 8.6 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/ 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://172:6001/ |
2. Apache Solr 远程代码执行漏洞(CNVD-2023-27598)(严重)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 代码注入 |
| 漏洞编号 | CT-683953, CNVD-2023-27598 |
| 漏洞描述 | Apache Solr 的stream.url功能存在SSRF漏洞。攻击者可通过构建恶意请求来读取Solr服务器上的文件或发起内网请求,结合其他相关特性,可造成远程代码执行 |
| 漏洞首次发现时间 | 2025-01-06 18:21:38 |
| 漏洞最近发现时间 | 2025-05-26 11:33:42 |
| 漏洞危害 | 攻击者可在应用处通过利用拼接、管道符、通配符等绕过手段来执行任意命令,写入后门,从而入侵服务器,获取服务器权限,直接导致服务器沦陷。 |
| CVSS 评分 | 9.8 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/admin/cores 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://172:6001/ |
3. Apache Solr 利用 ContentStreams 任意文件读取漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 文件读取 |
| 漏洞编号 | CT-158741 |
| 漏洞描述 | Apache Solr 在未开启认证的情况下,攻击者可利用Config API远程开启特定配置,并读取任意系统文件。影响范围:Apache Solr <= 8.8.1 |
| 漏洞首次发现时间 | 2025-01-06 18:55:14 |
| 漏洞最近发现时间 | 2025-05-26 11:34:01 |
| 漏洞危害 | 如果系统未对读取/下载文件的文件目录做限制,攻击者利用此漏洞可直接读取web目录下任意文件,比如配置文件、数据库文件等,甚至直接获取服务器上任意文件内容。 |
| CVSS 评分 | 7.5 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对 /solr/admin/cores 接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本,下载地址:https://solr.apache.org/downloads.html |
| 漏洞位置 | http://172:6001/ |
4. CVE-2017-3164: Apache Solr SSRF漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 逻辑错误 |
| 漏洞编号 | CT-46121, CVE-2017-3164, CNNVD-201902-575 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 1.3版本至7.6.0版本中存在服务器端请求伪造漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。 |
| 漏洞首次发现时间 | 2025-01-06 18:40:49 |
| 漏洞最近发现时间 | 2025-05-26 11:34:07 |
| 漏洞危害 | 攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。 |
| CVSS 评分 | 7.5 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://172:6001/ |
5. CVE-2019-17558: Apache Solr Velocity 模板注入漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 其他 |
| 漏洞编号 | CT-54341, CVE-2019-17558, CNVD-2020-00500, CNNVD-201912-1225 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.0.0版本至8.3.1版本中存在注入漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。 |
| 漏洞首次发现时间 | 2025-01-06 18:32:44 |
| 漏洞最近发现时间 | 2025-05-26 11:33:27 |
| 漏洞危害 | 可能造成造成信息泄露,业务系统不稳定等安全问题 |
| CVSS 评分 | 7.5 |
| 修复方案 | 在确保业务不受影响的前提下,可以暂时拦截对/solr/admin/cores接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 升级产品至最新版本以修复漏洞。 |
| 漏洞位置 | http://172:6001/ |
6. CVE-2021-27905: Apache Solr leaderUrl ContentStreams 存在SSRF漏洞(高危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | SSRF |
| 漏洞编号 | CT-152181, CVE-2021-27905, CNVD-2021-27717, CNNVD-202104-914 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 8.8.2之前版本存在代码问题漏洞,攻击者可利用masterUrl参数将索引数据复制到本地内核中。 |
| 漏洞首次发现时间 | 2025-01-06 18:42:41 |
| 漏洞最近发现时间 | 2025-05-26 11:33:42 |
| 漏洞危害 | 1、可以对外网、服务器所在内网、本地端口扫描,获取开放端口信息;主机信息收集,web 应用指纹识别,获取服务 banner 信息等; 2、攻击内外网的 Web 应用,主要是使用 Get 参数就可以实现的攻击(比如 Struts2 漏洞利用,SQL 注入等); 攻击运行在内网或本地的应用程序(比如溢出); 3、根据识别出的应用针对性的发送 payload 攻击,例如 struts2、redis、攻击内网、本地的应用程序及服务等;穿越防火墙; 4、利用 file 等其他允许协议进行绕过攻击,比如利用 file 协议读取本地文件(file:///etc/passwd) |
| CVSS 评分 | 7.3 |
| 修复方案 | 一、临时缓解措施: 在确保业务不受影响的前提下,可暂时拦截对/solr/admin/cores接口的访问请求。 限制访问来源地址,如非必要,不要将系统开放在互联网上。 二、升级修复方案: 升级产品至最新版本。 |
| 漏洞位置 | http://172:6001/ |
7. Apache Solr /admin/info/properties 敏感信息泄漏漏洞(中危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-1107818 |
| 漏洞描述 | Apache Solr /admin/info/properties 存在敏感信息泄漏 |
| 漏洞首次发现时间 | 2025-01-06 18:54:24 |
| 漏洞最近发现时间 | 2025-05-26 11:33:51 |
| 漏洞危害 | 如果被攻击者利用,有利于攻击者对系统进行信息收集,与其他问题搭配提升危害 |
| CVSS 评分 | 5.3 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://172:6001/ |
8. CVE-2023-50290: Apache Solr Metrics 环境变量信息泄漏漏洞(中危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-1046782, CVE-2023-50290, CNNVD-202401-1254 |
| 漏洞描述 | Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 9.0.0至9.3.0之前版本存在信息泄露漏洞,该漏洞源于存在敏感信息泄露漏洞。 |
| 漏洞首次发现时间 | 2025-01-06 18:25:15 |
| 漏洞最近发现时间 | 2025-05-26 11:33:36 |
| 漏洞危害 | 如果被攻击者利用,有利于攻击者对系统进行信息收集,与其他问题搭配提升危害 |
| CVSS 评分 | 6.5 |
| 修复方案 | 一、升级修复方案: 官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址: https://solr.apache.org/downloads.html 二、临时缓解措施 1、在不影响业务的情况下配置URL访问控制策略 2、如非必要,避免将资产直接暴露在互联网 |
| 漏洞位置 | http://172:6001/ |
9. 网页暗链(低危)*2
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 其他 |
| 漏洞编号 | CT-638874 |
| 漏洞描述 | 暗链也称黑链,即隐蔽链接,是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。 一般来说,暗链是由攻击者入侵网站后植入的,暗链在网页页面上不可见或者极易被忽略,但是搜索引擎仍然可以通过分析网页的源代码收录这些链接,如果有大量网站甚至一些高权重的网站都链向它们,积少成多,可以迅速提高权重,获得高额流量。 |
| 漏洞首次发现时间 | 2025-05-26 11:33:15 |
| 漏洞最近发现时间 | 2025-05-26 11:33:15 |
| 漏洞危害 | 可能造成造成信息泄露,业务系统不稳定等安全问题 |
| CVSS 评分 | 0 |
| 修复方案 | 建议尽快修复安全问题,并做好安全管理工作,定期进行安全巡检,最大程度地避免安全问题。 |
| 漏洞位置 | 1) http://172:6001/ 2) http://172:6001/ |
10. HTML 信息泄露漏洞(低危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 信息泄露 |
| 漏洞编号 | CT-638341 |
| 漏洞描述 | HTML 响应中注释可能存在这重要的内容,开发者应该在上线之前经过统一处理去除所有的注释,以防信息泄露。 |
| 漏洞首次发现时间 | 2025-05-26 11:33:15 |
| 漏洞最近发现时间 | 2025-05-26 11:33:15 |
| 漏洞危害 | 造成用户信息,站点配置信息等敏感信息泄露。 |
| CVSS 评分 | 5.3 |
| 修复方案 | 如果非必要,将 HTML 内的注释删除 |
| 漏洞位置 | http://172:6001/ |
11. 不安全的 HTTP 通信模式漏洞(低危)*1
| 项目 | 内容 |
|---|---|
| 漏洞权重 | 99% |
| 漏洞类型 | 不安全的配置 |
| 漏洞编号 | CT-637555 |
| 漏洞描述 | 服务器使用 http 而非使用 https 进行数据交换 |
| 漏洞首次发现时间 | 2025-01-06 18:08:13 |
| 漏洞最近发现时间 | 2025-05-26 11:34:29 |
| 漏洞危害 | 攻击者可以窃取和篡改传输的数据,可能造成敏感信息泄露等安全问题 |
| CVSS 评分 | 6.5 |
| 修复方案 | 启用HTTPS,使用SSL/TLS协议对数据进行加密和保护,提高服务器和用户之间的通信安全 |
| 漏洞位置 | http://172:6001/ |