漏洞概述 Whoogle Search 1.2.3 版本存在一个安全漏洞,该漏洞允许远程用户通过配置和偏好渲染路径读取配置的 Google Custom Search Engine (CSE) 凭据。具体来说, 和 值在配置时会被暴露给普通用户。 影响范围 受影响版本:Whoogle Search 1.2.3 影响内容:远程用户可以读取 和 值,这些值用于配置 Google Custom Search Engine。 潜在风险:攻击者可以利用暴露的凭据在应用外部重用,消耗配额或导致对所有者 Google CSE 配置的滥用。 修复方案 当前状态:页面未提供具体的修复方案。 建议措施: - 更新 Whoogle Search 到最新版本,以获取可能的修复。 - 检查并修改配置文件,确保 和 不在客户端可见的状态下被渲染。 - 审查代码,确保敏感信息不会通过配置和偏好渲染路径暴露。 POC 代码 总结 Whoogle Search 1.2.3 存在一个安全漏洞,允许远程用户读取配置的 Google Custom Search Engine 凭据。建议更新到最新版本并检查配置文件,确保敏感信息不被暴露。