元植Odoo云端教室网站 .git 目录及多敏感文件泄露

Vulnerability Overview

ZDID: ZD-2026-00419
發信 Vendor: 元植管理顾问有限公司
Title: 元植Odoo云端教室网站 .git 目录及多敏感文件泄露
Introduction: 该网站因配置疏漏，未对 Git 版本控制目录及各类敏感文件做访问限制，导致核心版本控制文件、服务器配置文件、项目说明文档、测试文件等内容可被外部直接访问，同时全站 URL 结构、API 接口规范等关键信息也被暴露。攻击者可借此恢复项目源码、获取服务器防护规则及项目开发部署细节，还能快速定位后台入口、业务接口等路径，大幅降低攻击探测成本，易引发源码泄露、未授权访问、数据库窃取等后续高危安全事件，对网站数据安全、服务器安全及企业信息资产造成直接且严重的威胁。

處理狀態

目前狀態

公開

Last Update : 2026/05/25

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2026/03/25 15:47:53 : 新提交 (由 bcdy 更新此狀態)
2026/03/30 00:38:28 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 17:07:12 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 17:07:12 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 17:07:12 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/25 03:00:15 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00419
通報者：the_better_you (bcdy)
風險：中
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

1.访问 https://odoo-classroom.yuanchih-consult.com/.git/info/exclude，可直接读取 Git 仓库忽略规则配置文件内容。

2.访问 https://odoo-classroom.yuanchih-consult.com/.git/info/refs，可直接读取 Git 仓库分支引用及 commit hash 信息。

3.访问 https://odoo-classroom.yuanchih-consult.com/.git/logs/HEAD，可直接读取 Git 仓库操作日志及 commit 历史信息。

.gitignore：https://odoo-classroom.yuanchih-consult.com/.gitignore，可暴露项目结构与敏感文件规则；
.git/index：https://odoo-classroom.yuanchih-consult.com/.git/index，Git 索引文件，可解析项目文件列表与修改记录；

6..htaccess：https://odoo-classroom.yuanchih-consult.com/.htaccess，Apache 服务器配置文件，泄露服务器防护规则。

修補建議

1、禁止外部访问 .git 目录：Apache：在 .htaccess 中添加 RedirectMatch 404 /.git

2、删除线上环境 .git 目录：直接移除生产服务器上的 .git 文件夹，避免再次泄露。

3、敏感信息排查：全面审计代码及历史提交，移除所有硬编码的密码、密钥、内网地址等敏感信息。

4、安全扫描：定期使用工具扫描敏感文件 / 目录（如 .git、.svn、.sql、.bak 等），及时发现并修复类似问题。

5、权限最小化：严格控制网站目录权限，避免 Web 进程对敏感文件拥有可读权限。