从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:PostHog database_schema Server-Side Request Forgery Information Disclosure Vulnerability 2. 漏洞编号: - ZDI-24-1383 - ZDI-CAN-25351 3. CVE ID:CVE-2024-9710 4. CVSS Score:7.1,AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N 5. 受影响的厂商:PostHog 6. 受影响的产品:PostHog 7. 漏洞详情: - 远程攻击者可以利用此漏洞披露受影响的PostHog安装上的敏感信息。 - 需要身份验证才能利用此漏洞。 - 问题存在于database_schema方法的实现中,由于在访问资源之前未正确验证URI。 - 攻击者可以利用此漏洞在服务帐户的上下文中执行代码。 8. 额外详情: - PostHog已发布更新以修复此漏洞。 - 更多详情可在以下链接中找到:https://github.com/PostHog/posthog/pull/25388 9. 披露时间线: - 2024-10-03:漏洞报告给厂商 - 2024-10-15:协调公共发布漏洞公告 - 2024-10-15:更新了漏洞公告 10. 信用: - Mehmet INCE (@mdisec) 从PRODAFT.com 这些信息提供了关于PostHog数据库_schema方法中的漏洞的详细描述,包括其影响、利用方式以及厂商的响应。