Alibaba Canal /api/v1/user/login 默认口令漏洞

影响产品：Alibaba-Canal CVSS：8.1 漏洞类型：默认口令 漏洞描述： Alibaba Canal是阿里巴巴集团开源的MySQL增量数据订阅&消费组件，主要用于MySQL的增量数据解析和同步，广泛应用于数据同步、数据缓存、数据异构等场景。Alibaba Canal存在默认口令漏洞，系统预设管理员账户 admin/123456，攻击者可直接利用这些凭据登录系统获取完整的管理权限。 影响： Alibaba Canal存在默认口令漏洞。攻击者可利用默认凭据 admin/123456 直接登录系统，获取完整的MySQL增量数据管理权限，可能导致敏感数据泄露和数据同步配置被篡改。 修复建议： 1、修改默认口令，密码最好包含大小写字母、数字和特殊字符等，且位数大于8位。2、如非必要，禁止公网访问该系统。3、通过防火墙等安全设备设置访问策略，设置白名单访问。4、定期审查用户账户权限，及时删除不必要的账户。 FOFA： title="Canal Admin" || body="We're sorry but Canal Admin doesn't work properly without JavaScript enabled."