漏洞总结:ECHS: Admin API key hardcoded in client-side JavaScript enables credential disclosure (CWE-798) 漏洞概述 在评估的 e-Clinic Healthcare System (ECHS) v5.7 部署中,一个特权秘密( / )被直接嵌入到客户端 JavaScript 资产中。由于浏览器必须下载并执行此文件,任何用户(或攻击者)都可以检索并提取该密钥。这是一个经典的 CWE-798: Use of Hard-coded Credentials(使用硬编码凭证)。OWASP 也明确将硬编码密码/密钥列为危险漏洞模式。 影响范围 受影响产品: e-Clinic Healthcare System (ECHS) v5.7 by PicoTronica 受影响组件: - (JS 包含硬编码密钥并展示其用法) - 相关的 Admin API 设计期望 作为认证材料。 技术细节 e-Clinic Healthcare System (ECHS) 版本 5.7 将硬编码的管理凭证直接嵌入到客户端 JavaScript 文件 ( ) 中,该文件服务于所有未认证的用户。 管理密钥 ( ) 以明文形式可见,并在通过 HTTP 标头提供给受保护的端点时,授予对管理功能的无限制访问权限。 这允许任何用户: 1. 查看 JavaScript 源代码并提取管理密钥 2. 使用该密钥访问管理端点 3. 检索内部系统凭证和敏感配置数据 4. 潜在地修改系统设置和访问受限功能 修复方案 (注:截图中未提供具体的修复方案,仅列出了“Recommended remediation”作为目录项,但内容未显示。根据漏洞性质,通常建议移除硬编码密钥,改用安全的密钥管理机制,如环境变量、密钥管理服务或服务器端配置。) POC/利用代码