从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:[Vulnerability] Arbitrary Password Reset in All Versions of Tduckpro 2. 漏洞描述:TduckPro是一个由Hunan Zhongda Shuwei Information Technology Co., Ltd.开发的商业表单调查系统。版本2.0到6.3(当前全系列的TduckPro版本)包含一个漏洞,允许重置任何账户ID(包括管理员账户)的密码,而无需知道原始密码。 3. 漏洞利用标题:Arbitrary Password Reset in All Versions of Tduckpro 4. Sodan:http.html:tduck后台管理框架 5. 日期:2024年9月3日 6. 漏洞作者:ShawRoot 7. 供应商主页:https://www.tduckcloud.com/ 8. 软件链接:该系统是商业软件,不是开源的。 9. 版本范围:2.0“基本信息”->“保存”,并检查浏览器的F12控制台,可以确定“vul1”账户的ID为8372。 - 登录“vul2”账户,修改个人信息,注意手机号和邮箱不能修改数据库中的现有数据。然后,将“ID”字段更改为“vul1”账户的ID,将“Username”和“Nickname”字段更改为“vul1”,将“Email”和“Phonenumber”字段更改为数据库中不存在的邮箱地址。 - 登录“vul1”账户,发现密码已更改。 12. 修复建议:应用用户访问限制到个人信息更新API,特别是确保用户在没有适当授权的情况下不能修改其他ID的信息。 这些信息详细描述了漏洞的利用过程和修复建议,对于安全研究人员和开发人员来说非常重要。