漏洞标题
N/A
漏洞描述信息
# 漏洞描述
## 概述
Getahead Direct Web Remoting (DWR)版本在1.1.4之前的版本中存在漏洞,允许攻击者通过精心构造的请求绕过包含/排除检查,从而获得未经授权的访问权限,访问公共方法。
## 影响版本
- 1.1.4之前的所有版本
## 细节
该漏洞允许攻击者利用精心构造的HTTP请求,以绕过DWR框架中的安全检查机制。这些安全检查通常用于限制对某些方法的访问,但在受影响的版本中,攻击者可以通过特定的请求格式来规避这些防护措施,从而执行不应被访问的方法。
## 影响
攻击者可以利用此漏洞访问到本应受到保护的公共方法,从而可以对应用程序执行恶意操作或获取敏感数据。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Getahead Direct Web Remoting (DWR) before 1.1.4 allows attackers to obtain unauthorized access to public methods via a crafted request that bypasses the include/exclude checks.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Direct Web Rendering 安全绕过漏洞
漏洞描述信息
Getahead Direct Web Remoting(DWR)1.1.4之前版本存在安全绕过漏洞,攻击者可以借助一个特制的请求,获得对公共方式的未授权访问。该特制请求会绕过include/exclude检查。
CVSS信息
N/A
漏洞类别
授权问题