0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未知

未知

未知

0x02漏洞描述

ShowDoc是一款高效实用的在线API文档编辑工具。ShowDoc能够帮助开发者快速编写出集美观和实用为一体的API文档。 

2022年1月4日,360漏洞云团队在互联网上监测到一则关于 showdoc存在信息泄露漏洞的信息。漏洞编号:CVE-2022-0079,漏洞威胁等级:中危,漏洞评分:5.3。

Showdoc 信息泄露漏洞

Showdoc 信息泄露漏洞

漏洞编号

CVE-2022-0079

漏洞类型

信息泄露

漏洞等级

中危(5.3)

公开状态

未知

在野利用

未知

漏洞描述

showdoc中存在信息泄露漏洞,该漏洞源于showdoc中注册接口校验机制较为脆弱,攻击者可用利用此漏洞枚举系统中的所有用户名。

0x03漏洞等级

中危

0x04影响版本

showdoc <=v2.9.15

0x05漏洞复现

2022年1月4日,360漏洞云安全专家已第一时间复现上述漏洞,演示如下:

如果验证码为4位数字,且输入已有用户名时提示用户已经存在,则漏洞存在。

CVE-2022-0079

完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。

0x06修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/star7th/showdoc/releases

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。