根据用户提供的截图,我提取了以下关键信息: 1. 漏洞标题/ID: #781763: Align Technology My Invisalign (com.aligntech.myinvisalign.emea) 3.12.4 Contentful CDA Tokens Exposure 2. 漏洞概述: 这是一个关于Align Technology的My Invisalign应用(版本3.12.4)的漏洞。该应用硬编码了Contentful Delivery API凭证(space ID和CDA token)。攻击者可以利用这些凭证直接查询Contentful CDA API,从而从主生产环境和发布(预生产)环境中读取所有条目。这暴露了敏感的业务配置数据、市场营销策略、多语言翻译和帮助文档。 3. 影响范围: 应用名称: Align Technology My Invisalign (com.aligntech.myinvisalign.emea) 版本: 3.12.4 受影响环境: 主生产环境 (master production) 和 发布环境 (release pre-production)。 具体泄露内容: 敏感业务配置数据、市场营销策略、多语言翻译、帮助文档。 4. 修复方案: 页面本身没有提供具体的修复代码,但通常这类硬编码凭证的修复方案是移除硬编码的API密钥,改用环境变量或安全的密钥管理服务。 5. POC/利用代码: 页面中提供了一个Source链接,指向一个演示该漏洞的页面(https://www.redos.io/contentful-cda-tokens-exposure-leading-to-unauthorized-access-to-master-and-release-environments-in-20260397817682ed4a18f1e126469f80ucp-n0zcy_link)。此外,在"VulDB entry"部分提到了一个具体的泄露文件路径: 。虽然没有直接展示完整的利用脚本,但泄露的Token本身即为利用的关键。 现在,我将这些信息整理成简洁的中文Markdown格式。 漏洞总结 漏洞概述 Align Technology 的 My Invisalign 应用(版本 3.12.4)存在 Contentful CDA Tokens 泄露漏洞。该应用在客户端代码中硬编码了 Contentful Delivery API 的凭证(space ID 和 CDA token)。攻击者利用这些凭证可以直接查询 Contentful CDA API,从而从主生产环境和发布(预生产)环境中读取所有条目。这导致敏感业务配置数据、市场营销策略、多语言翻译和帮助文档等内部信息被泄露。 影响范围 应用名称: Align Technology My Invisalign (com.aligntech.myinvisalign.emea) 受影响版本: 3.12.4 受影响环境: 主生产环境 (master production) 和 发布环境 (release pre-production) 泄露内容: 敏感业务配置数据、市场营销策略、多语言翻译、帮助文档。 修复方案 页面未提供具体修复代码。通常建议移除硬编码的 API 密钥,改用环境变量或安全的密钥管理服务来存储敏感凭证。 POC/利用代码 页面未直接提供完整的利用脚本,但指出了泄露的凭证位于 文件中,具体为 。 相关链接 Source**: https://www.redos.io/contentful-cda-tokens-exposure-leading-to-unauthorized-access-to-master-and-release-environments-in-20260397817682ed4a18f1e126469f80ucp-n0zcy_link