漏洞描述：

一些通用的CMS存在通用未授权访问漏洞，导致攻击者可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。

上周参加了本省某行业的攻防演练比赛，此种漏洞是很普遍，也是容易被忽略的问题，本文就带大家直击这些漏洞，然后认识并指导如何防御。

主要类型有：

• Active MQ 未授权访问漏洞

• Atlassian Crowd 未授权访问漏洞

• CouchDB 未授权访问漏洞

• Docker 未授权访问漏洞

• nacos 未授权访问漏洞

• Dubbo 未授权访问漏洞

• Druid 未授权访问漏洞

• Elasticsearch 未授权访问漏洞

• FTP 未授权访问漏洞

• Hadoop 未授权访问漏洞

• Jenkins 未授权访问漏洞

• Jupyter Notebook 未授权访问漏洞

• Kibana 未授权访问漏洞

• Kubernetes Api Server 未授权访问漏洞

• LDAP 未授权访问漏洞

• MongoDB 未授权访问漏洞

• Memcached 未授权访问漏洞

• NFS 未授权访问漏洞

• Rsync 未授权访问漏洞

• Redis 未授权访问漏洞

• RabbitMQ 未授权访问漏洞

• Solr 未授权访问漏洞

• Spring Boot Actuator 未授权访问漏洞

• Spark 未授权访问漏洞

• VNC 未授权访问漏洞

• Weblogic 未授权访问漏洞

• ZooKeeper 未授权访问漏洞

• Zabbix 未授权访问漏洞

• redmine 未授权访问漏洞

• Proxool 未授权访问漏洞

• jboss jmx-concle 未授权访问漏洞

• Apache Solr 未授权访问漏洞

  案例1

漏洞修复方案