menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right Alibaba Canal config 云密钥信息泄露漏洞 chevron_right Alibaba Canal config 云密钥信息泄露漏洞.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Alibaba Canal config 云密钥信息泄露漏洞.md
    492 B / 2021-07-15 19:47:34
        # Alibaba Canal config 云密钥信息泄露漏洞

## 漏洞描述

由于/api/v1/canal/config  未进行权限验证可直接访问,导致账户密码、accessKey、secretKey等一系列敏感信息泄露

## 漏洞影响

> [!NOTE]
>
> Alibaba Canal

## FOFA

> [!NOTE]
>
> title="Canal Admin"

## 漏洞复现

验证漏洞的Url为

```
/api/v1/canal/config/1/0
```

![](/resource/Alibaba-Canal/can-1.png)

其中泄露了 aliyun.access 密钥,可以控制密钥下的所有服务器
    links
    file_download