关键漏洞信息摘要 受影响产品 NutzBoot (Web3j starter + demo module) 受影响或已修复的版本 2.6.0-SNAPSHOT(当前dev分支,无可用补丁) 任何暴露 的部署来自 漏洞类型 敏感信息泄露 / 凭证泄露 根因分析 方法(在nutzboot-demo中)直接将注入的 web3jCredentials 作为JSON返回。 Web3jAccount 类依旧暴露了 password 属性。该端点未强制执行任何身份验证或访问控制,导致任何调用者都能获取明文钱包密码。 影响 任何能够访问 的人都可以下载所有本地配置的以太坊地址及其钱包密码,从而实现密钥的即时窃取或通过其他RPC接口进行未经授权的签名操作。 漏洞详细信息及证明 漏洞位置: 重现步骤: 1. 启动具有至少一个通过 配置的demo Web3j应用程序。 2. 不带任何身份验证请求该本地帐户端点: 3. 观察JSON响应包含每个配置帐户的明文密码和地址。 建议修复措施 1. 从API响应中永不包含密码(或其他机密)。使用省略敏感字段的函数,或扩展locked属性以包含密码。 2. 在生产环境中禁用该API,或强制其进行身份验证/授权。 3. 将钱包密码存储在安全的密钥库中,而非配置文件中。 ---