此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。
Dapr Dashboard 存在 未授权访问漏洞,在未经授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息,并可以进一步利用这些配置信息获取云上的敏感数据
Dapr Dashboard v0.1.0 到 v0.10.0
"Dapr Dashboard"
icon_hash="-1294239467"
POC
/configurations
主界面
验证POC
访问 http://ip:port/configurations
选择项目进入,并选择configuration界面查看配置文件
可以对受影响的资产应用严格的白名单访问控制。
为Dapr仪表板添加登录身份验证。