一、 漏洞 CVE-2021-40875 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Gurock TestRail版本<7.2.0.3014的不适当的访问控制导致了敏感信息泄露。威胁实体可以在Gurock TestRail应用程序的客户端方面访问/files.md5文件,泄露应用程序文件的完整列表和相应的文件路径。可以测试相应的文件路径,在某些情况下,可能会导致硬编码密码、API密钥或其他敏感信息的泄露。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Access Control in Gurock TestRail versions < 7.2.0.3014 resulted in sensitive information exposure. A threat actor can access the /files.md5 file on the client side of a Gurock TestRail application, disclosing a full list of application files and the corresponding file paths. The corresponding file paths can be tested, and in some cases, result in the disclosure of hardcoded credentials, API keys, or other sensitive data.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Gurock Software Gurock TestRail 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Gurock Software Gurock TestRail是德国Gurock Software公司的一套基于Web的、用于QA和开发团队的测试用例管理软件。该软件支持创建测试用例、管理测试套件和协调测试过程等。 Gurock Software Gurock TestRail 7.2.0.3014之前版本存在信息泄露漏洞,攻击者可利用该漏洞访问Gurock TestRail应用程序客户端的/files.md5文件,公开应用程序文件的完整列表和相应的文件路径,探测相应的文件路径,在某些情况下,会导致硬编码
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-40875 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2021-40875: Tools to Inspect Gurock Testrail Servers for Vulnerabilities related to CVE-2021-40875. https://github.com/SakuraSamuraii/derailed POC详情
2 Python scanner for TestRail servers vulnerable to CVE-2021-40875 https://github.com/Lul/TestRail-files.md5-IAC-scanner POC详情
三、漏洞 CVE-2021-40875 的情报信息