gin-vue-admin是一个基于Vue和Gin框架开发的全栈前端开发基础平台。以下是对gin-vue-admin已知漏洞的详细分析、原因、风险、修复建议、检测方法以及总结: 1. 已知漏洞信息 1.1 垂直越权漏洞(CVE-2022-21660) 漏洞描述:攻击者可以利用该漏洞修改其他用户的个人信息,包括用户名、昵称和密码等。 影响版本:未明确指定,但...
随后我们只需要将username这个参数修改为admin即可 随后会提示我们修改成功,然后我们使用新的密码来登录admin 随后成功登录 漏洞出现的位置在https://github.com/flipped-aurora/gin-vue-admin/blob/master/server/api/v1/system/sys_user.go,139行 代码语言:javascript 复制 // @Tags SysUser// @Summary 用户修改...
Gin-Vue-Admin是一个基于 Vue 和 Gin 开发的全栈前开发基础平台。 Gin-Vue-Admin v2.6.1及之前版本存在安全漏洞,该漏洞源于后端存在代码注入漏洞,攻击者利用该漏洞可以通过 plugName参数来执行目录遍历。 漏洞补丁 目前暂无Gin-Vue-Admin 安全漏洞的补丁信息,如Gin-Vue-Admin 安全漏洞补丁信息有更新,便会立即同步...
漏洞发生的位置在https://github.com/flipped-aurora/gin-vue-admin/blob/master/server/api/v1/system/sys_user.go的第273行// @Tags SysUser // @Summary 设置用户信息 // @Security ApiKeyAuth // @accept application/json // @Produce application/json // @Param data body system.SysUser true "...
漏洞发生的位置在https://github.com/flipped-aurora/gin-vue-admin/blob/master/server/api/v1/system/sys_user.go的第273行 // @Tags SysUser // @Summary 设置用户信息 // @Security ApiKeyAuth // @accept application/json // @Produce application/json ...
三、漏洞复现 SetUserInfo存在垂直越权 1、SetUserInfo接口越权设置用户个人信息 我们直接来到用户管理页面,新增一个低权限的用户角色 可以看到上方并没有给到管理员的权限,接下来新建一个账号,分给这个角色组 漏洞发生的位置在https://github.com/flipped-aurora/gin-vue-admin/blob/master/server/api/v1/system/sys...
墨菲安全对开源项目flipped-aurora/gin-vue-admin进行了软件成分分析,发现引入开源组件 124 个,相关许可证 1 类,其中存在漏洞的缺陷组件 1 个。 安全风险信息 建议修复的组件共 1 个,这些组件的漏洞存在被攻击的可能性,建议1个月内进行处理 许可证合规风险信息 ...
vue-admin有一个perms的权限处理。在后台生成"perms":["GET /sys/admin","GET /sys/log","GET /sys/os","GET /sys/role"]给到前台就行。 其实就是根据用户的角色,查询casbinrule里的v1,v2,组成json list返回就可以。 上面是这段时间改写casbin权限用到的一点看法,以及实际的步骤。 分类: golang 好...
gin-vue-admin文档地址:https://www.gin-vue-admin.com 插件市场:https://plugin.gin-vue-admin.com 捐赠地址:https://www.gin-vue-admin.com/coffee/index.html 授权购买地址:https://www.gin-vue-admin.com/empower/index.html 全栈开源项目gin-vue-admin:https://github.com/flipped-aurora/g...
gin-vue-admin文档地址:https://www.gin-vue-admin.com 插件市场:https://plugin.gin-vue-admin.com 捐赠地址:https://www.gin-vue-admin.com/coffee/index.html 授权购买地址:https://www.gin-vue-admin.com/empower/index.html 全栈开源项目gin-vue-admin:https://github.com/flipped-aurora/g...