1、未授权漏洞 原理:H2 database自带一个web管理页面,设置了如下的设置就允许外部用户访问web管理界面,且不经过身份验证 //这个就是设置启用还是禁用web管理界面 spring.h2.console.enabled=true //这个就是设置是否允许外部用户进行访问管理界面,并不通过身份验证 spring.h2.console.settings.web-allow-others=true ...
^H2 Database Console 未授权访问https://github.com/Threekiii/Vulhub-Reproduce/blob/master/H2%20Database%20Console%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE.md
https://github.com/h2database/h2database https://www.baeldung.com/spring-boot-h2-database https://mvnrepository.com/artifact/com.h2database/h2 组件许可证解读 com.h2database:h2这个组件的许可证是MPL 2.0和EPL 1.0。这两种许可证都是开源软件许可证,允许用户自由地使用,修改,分发,和复制该组件。但是...
腾讯云安全运营中心监测到,H2官方发布安全通告,披露了H2database console存在远程代码执行漏洞,漏洞编号CVE-2021-42392。可导致远程代码执行等危害。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
本文将引导你探索学习并实践H2 Database Web控制台未授权访问漏洞。H2 database 是一款用于单元测试的Java内存数据库。其自带的Web管理页面在Spring开发中,若设置不当,可导致外部用户无需鉴权访问。此漏洞允许通过JNDI注入攻击,进而执行任意命令。为了开始实验,请确保你已搭建好Docker环境,并下载了配套的...
H2数据库的最后一个已知的真实的漏洞版本可能是1.4.200。最新版本的H2控制台具有已知的真实的漏洞是2....
H2数据库的最后一个已知的真实的漏洞版本可能是1.4.200。最新版本的H2控制台具有已知的真实的漏洞是2....