我要评论
influxdb——未授权访问——jwt验证不当
influxdb是一个由influxdata开发的开源时序型数据库,专注于海量时序数据的高性能读、高性能写、高效存储与实时分析等,在db-engines ranking时序型数据库排行榜上排名第一,广泛应用于devops监控、iot监控、实时分析等场景。默认端口:8086、8088
influxdb empty jwt secret key authentication bypass (cve-2019-20933)
h2database——未授权访问——配置不当
h2 database是一款java内存数据库,多用于单元测试。h2 database自带一个web管理页面,在spring开发中,如果我们设置以下选项,即可允许外部用户访问web管理页面,且没有鉴权。h2默认端口:20051
spring.h2.console.enabled=true
spring.h2.console.settings.web-allow-others=true
couchdb——未授权访问
couchdb是一个开源的面向文档的数据库管理系统,建立于 c++ 之上。apache couchdb remote privilege escalation (cve-2017-12635)
couchdb arbitrary command execution (cve-2017-12636)
elasticsearch
elasticsearch用于日志分析,elasticsearch+kibana分析日志。https://vulhub.org/#/environments/elasticsearch/wooyun-2015-110216/
发表评论