#Kubesphere v3.4.0 Kubesphere Enterprise v4.1.1中的exploit title: diDor漏洞
#日期: 9月3日
#利用作者: Okan Kurtulus
#供应商HomePage: https://kubesphere.io
#软件link: https://github.com/kubesphere/kubesphere
#版本: [=4.0.0 4.1.3],[=3.0.0 3.4.1]
#测试在: Ubuntu 22.04
#CVE : CVE-2024-46528
1-)与未注册任何工作空间的用户登录系统(例如,授权有限的“平台期限”用户)。
Note:此用户的授权级别如下:
加入工作区之前,无法访问任何资源。”
2-)与此用户登录后,已经观察到可以访问群集信息,节点信息,在系统中注册的用户以及其他类似区域,而无需将用户注册到任何工作区或集群。
可访问端点的示例:
http://xxx.xxx.xx.xx:3 0880/clusters/default/Monital-cluster/resource
#日期: 9月3日
#利用作者: Okan Kurtulus
#供应商HomePage: https://kubesphere.io
#软件link: https://github.com/kubesphere/kubesphere
#版本: [=4.0.0 4.1.3],[=3.0.0 3.4.1]
#测试在: Ubuntu 22.04
#CVE : CVE-2024-46528
1-)与未注册任何工作空间的用户登录系统(例如,授权有限的“平台期限”用户)。
Note:此用户的授权级别如下:
加入工作区之前,无法访问任何资源。”
2-)与此用户登录后,已经观察到可以访问群集信息,节点信息,在系统中注册的用户以及其他类似区域,而无需将用户注册到任何工作区或集群。
可访问端点的示例:
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx
正在加载...
xxx.xxx.xx.xx