此文章仅供用于学习研究，严禁用于非法用途，否则后果自负。

漏洞简介

Dapr Dashboard 存在 未授权访问漏洞，在未经授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息，并可以进一步利用这些配置信息获取云上的敏感数据

漏洞影响

Dapr Dashboard v0.1.0 到 v0.10.0

网络空间测绘语法

 "Dapr Dashboard"
 icon_hash="-1294239467"

漏洞复现

POC

 /configurations

主界面

验证POC

访问 http://ip:port/configurations

选择项目进入,并选择configuration界面查看配置文件

漏洞修复

可以对受影响的资产应用严格的白名单访问控制。

为Dapr仪表板添加登录身份验证。