Ech0 /api/system/logs 信息泄露漏洞

影响产品：Ech0 CVSS：4 漏洞类型：信息泄露 漏洞描述： Ech0 是一款开源的轻量级 Web 应用程序框架，由开发者 lin-snow 在 GitHub 上维护。该框架旨在为开发者提供简单、高效的 Web 应用开发解决方案，包含用户认证、权限管理、日志记录等核心功能模块，适用于中小型 Web 应用和 API 服务开发场景。Ech0 的 /api/system/logs 接口存在权限校验缺失漏洞，普通用户账号通过 JWT 认证后即可访问系统日志接口，获取包括管理员密码哈希、用户权限配置、系统操作记录等敏感信息，导致严重的信息泄露风险。 影响： 攻击者可利用该漏洞获取系统日志中的敏感信息，包括管理员账号密码哈希、用户权限配置、系统操作记录等。攻击者可利用获取的密码哈希进行离线破解，获取管理员账号权限，进而接管系统控制权，造成数据泄露、系统被控等严重后果。 修复建议： 1、升级到最新版本。2、为 /api/system/logs 接口添加管理员权限校验机制。3、对日志中的敏感字段进行脱敏处理，如密码哈希、Token等。4、实施访问控制列表（ACL），限制日志访问权限。5、定期审查和清理系统日志。 FOFA： title="Ech0"