从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:#421292 2. 漏洞名称:Topdata Top Data Inner Rep Plus Web Server v.2.01 Missing Password Field Masking 3. 漏洞描述: - 标题:Top Data Inner Rep Plus Missing Password Field Masking - 描述:在Top Data Inner Rep Plus - Web Server v.2.01中发现了一个“Missing Password Field Masking”漏洞。该漏洞允许用户查看操作员的密码。 - 详细描述:TopData的Top Data Inner Rep Plus是一款生物识别考勤机。该产品使用了一个在版本Web Server v.2.01中存在漏洞的web服务。当用户以“admin”身份登录时,可以查看操作员列表。使用burp suite检查此请求时,可以看到应用程序以加密形式响应请求,显示操作员列表及其凭证。当管理员用户使用浏览器查看操作员时,由于密码未进行字段遮罩,因此可以看到密码以明文形式显示。考虑到操作员信息以加密形式传输,应用程序在浏览器中显示明文密码是没有理由的。 - 影响:恶意攻击者可以使用操作员用户身份执行任意操作,仿佛他们是该用户。 4. 漏洞影响:TopData的Top Data Inner Rep Plus - Web Server v.2.01 5. 提交时间:2024年10月10日01:16 AM 6. 状态:已接受 7. VulDB Entry编号:280914 8. 提交者:匿名用户 9. 提交时间:2024年10月10日01:16 AM 10. 审核时间:2024年10月18日02:12 PM 11. 链接:https://www.topdata.com.br/relogio-de-ponto-biometrico/