- 新手指南
- 平台常见问题
- 法律条文
- 任务中心
- API中心
1. 接口定义
1.1 检索漏洞
1.1.1 请求定义
请求方式:post
请求头类型:Content-Type: application/json
请求地址:https://www.wanyun.cn/gateway/information/leak/apiPage
1.1.2 输入参数
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| token | string | N | token |
| filter | string | N | 漏洞编号或漏洞名称 |
| pageSize | Integer | N | 页码大小 |
| pageNum | Integer | N | 当前页码 |
传参示例:
{
"szNo": "SZ-2024-12773",
"token": "a77c48771cc448b7856d7af529ef9132",
"pageSize":5,
"pageNum":1
}
1.1.3 输出参数
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| code | int | N | 消息编码 |
| msg | string | Y | 错误描述 |
| data | Object | Y | 数据对象 |
| data.total | Integer | N | 漏洞总数 |
| data.size | Integer | N | 当前页大小 |
| data.current | Integer | N | 当前页 |
| data.records | List<DataCenterVulnerablePageVO> | N | 当前页面值 |
| ok | Boolean | N | Boolean |
DataCenterVulnerablePageVO对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| szNo | string | N | seczone编号 |
| cveNo | string | N | cve编号 |
| vulnNos | List<Stringh> | N | 关联漏洞编号 |
| nameUS | string | Y | 漏洞英文名称 |
| nameCN | string | Y | 漏洞中文名称 |
| severity | string | N | 风险等级 |
| publishedDate | string | N | 发布时间,格式yyyy-MM-dd |
| availableDifficulty | String | N | 漏洞利用难度,HIGH、MEDIUM、LOW |
| affectPurls | List<AffectPurlInfo> | N | 影响组件的信息 |
AffectPurlInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| purl | string | N | 影响组件的purl |
| versionRange | string | N | 影响组件的版本区间 |
输出示例:
{
"code": 200,
"msg": "success",
"data": {
"total": 382363,
"size": 5,
"current": 1,
"records": [
{
"szNo": "SZ-2024-20789",
"cveNo": "CVE-2024-6783",
"vulnNos": [
"CVE-2024-6783"
],
"nameUS": "vue-template-compiler vulnerable to client-side Cross-Site Scripting (XSS)",
"nameCN": "通过原型污染的 Vue 客户端 XSS(CVE-2024-6783)",
"severity": "Medium",
"publishedDate": "2024-07-23",
"availableDifficulty": "MEDIUM",
"affectPurls": []
},
{
"szNo": "SZ-2024-20815",
"cveNo": "CVE-2024-41656",
"vulnNos": [
"CVE-2024-41656"
],
"nameUS": "Sentry vulnerable to stored Cross-Site Scripting (XSS)",
"nameCN": "Sentry vulnerable to stored Cross-Site Scripting (XSS) (CVE-2024-41656)",
"severity": "High",
"publishedDate": "2024-07-23",
"availableDifficulty": "MEDIUM",
"affectPurls": []
},
{
"szNo": "SZ-2024-20785",
"cveNo": "CVE-2024-41655",
"vulnNos": [
"CVE-2024-41655"
],
"nameUS": "(ReDoS) Regular Expression Denial of Service in tf2-item-format",
"nameCN": "TF2 项目格式正则表达式拒绝服务漏洞 (CVE-2024-41655)",
"severity": "High",
"publishedDate": "2024-07-23",
"availableDifficulty": "MEDIUM",
"affectPurls": []
},
{
"szNo": "SZ-2024-20721",
"cveNo": null,
"vulnNos": [],
"nameUS": "Malicious code in jqtools-toolbox-expose (npm)",
"nameCN": "暂无标题",
"severity": "Unknown",
"publishedDate": "2024-07-22",
"availableDifficulty": "MEDIUM",
"affectPurls": []
},
{
"szNo": "SZ-2024-20641",
"cveNo": "CVE-2024-6963",
"vulnNos": [
"CVE-2024-6963",
"CNNVD-202407-2161"
],
"nameUS": "CVE-2024-6963",
"nameCN": "Tenda O3 安全漏洞",
"severity": "High",
"publishedDate": "2024-07-22",
"availableDifficulty": "MEDIUM",
"affectPurls": []
}
]
},
"ok": true
}
1.2 漏洞详情
1.2.1 请求定义
请求方式:post
请求头类型:Content-Type: application/json
请求地址:https://www.wanyun.cn/gateway/information/leak/apiDetail
1.2.2 输入参数
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| token | string | N | token |
| szNo | string | N | seczone编号 |
传参示例:
{
"szNo": "SZ-2024-12773",
"token": "a77c48771cc448b7856d7af529ef9132"
}
1.2.3 输出参数
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| code | int | N | 消息编码 |
| msg | string | Y | 错误描述 |
| data | Object | Y | 数据对象 |
| data.szNo | string | N | seczone编号 |
| data.cveNo | string | Y | cve编号 |
| data.vulnNos | List<Stringh> | Y | 关联漏洞编号 |
| data.nameUS | string | Y | 漏洞英文名称 |
| data.nameCN | string | Y | 漏洞中文名称 |
| data.cwe | string | Y | 弱点类型 |
| data.severity | string | Y | 风险等级 |
| data.utilization | string | Y | Exp成熟度,Unknown、POC已公开、EXP已公开、漏洞武器化 |
| data.factoryFixed | Integer | Y | 是否修复 1-是 0-否 |
| data.fix | string | Y | 修复方案、解决方案 |
| data.availableDifficulty | String | Y | 漏洞利用难度,HIGH、MEDIUM、LOW |
| data.publishedDate | string | Y | 更新时间,格式yyyy-MM-dd |
| data.updatedDate | string | Y | 发布时间,格式yyyy-MM-dd |
| data.descCN | String | Y | 漏洞中文描述 |
| data.descUS | String | Y | 漏洞英文描述 |
| data.references | List<ReferenceInfo> | Y | 参考资料 |
| data.cveVuln | CveVulnInfo | Y | cve信息 |
| data.cnnvdVuln | List<CnnvdVulnInfo> | Y | cnnvd信息 补丁 |
| data.affectPurls | List<AffectPurlInfo> | Y | 影响组件的信息 |
| data.cnnvdFix | List<String> | Y | cnnvd修复建议 |
| data.cnvdFix | List<String> | Y | cnvd修复建议 |
| ok | Boolean | N | 请求状态 true 正常 false请求错误 |
patchInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| patchId | string | Y | 补丁唯一id |
| title | string | Y | 补丁名称 |
| link | string | Y | 补丁跳转地址 |
| publishedDate | string | Y | 补丁发布时间yyyy-MM-dd |
CnnvdVulnInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| cnnvdNo | string | Y | CNNVD编号 |
| name | string | Y | 漏洞名称 |
| vulnType | string | Y | 漏洞类型 |
| description | string | Y | 漏洞描述 |
| referencesList | List<ReferenceInfo> | Y | 参考资料 |
| fix | string | Y | 修复建议/解决方案 |
| severity | string | Y | 风险等级 |
| publishedDate | string | Y | 发布时间,格式yyyy-MM-dd |
| patchList | List<patchInfo> | Y | cnnvd补丁列表 |
CveVulnInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| severity | string | Y | 风险等级(CVE) |
| publishedDate | string | Y | 发布时间(CVE) |
| name | string | Y | 漏洞名称-title |
| description | string | Y | 漏洞描述 |
| cwe | string | Y | CWE |
| cna | string | Y | CNA(CVE) |
| v2 | V2Info | Y | cvssV2.0信息 |
| v3 | V3Info | Y | cvssV3.0信息 |
| v31 | V31Info | Y | cvssV3.1信息 |
V2Info对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| acInsufInfo | string | Y | AC 值 Base Metric的一种指标,true、false、Unknown |
| severity | string | Y | 风险等级 |
| score | string | Y | 漏洞评分 |
| exploitabilityScore | string | Y | 可利用分 |
| impactScore | string | Y | 影响分 |
| obtainAllPrivilege | string | Y | 攻击者可获取所有权限,true、false、Unknown |
| obtainUserPrivilege | string | Y | 攻击者可获取用户权限,true、false、Unknown |
| obtainOtherPrivilege | string | Y | 攻击者可获取其他权限,true、false、Unknown |
| userInteractionRequired | string | Y | 攻击者在成功利用漏洞之前是否需要进行交互,None、Required、Unauthenticated、Unknown |
| vector | string | Y | cvss2.0的vectorString |
| accessComplexity | string | Y | AC 访问复杂性 - 攻击者在攻击目标系统时需要或必须满足的条件或环境,LOW、MEDIUM、HIGH、Unknown |
| accessVector | string | Y | AV 访问向量 - 攻击者访问目标系统的方式或场景,LOCAL、ADJACENT、NETWORK、NETWORK、PHYSICAL、Unknown |
| authentication | string | Y | Au 身份验证 - 攻击者在成功攻击之前的身份验证要求,NONE、SINGLE、MULTIPLE、Unknown |
| availabilityImpact | string | Y | A 可用性影响 - 衡量成功利用的漏洞对可用性的影响, NONE、PARTIAL、COMPLETE、Unknown |
| confidentialityImpact | string | Y | C 保密影响 - 衡量成功利用的漏洞对机密性的影响,NONE、PARTIAL、COMPLETE、Unknown |
| integrityImpact | string | Y | I 完整性影响 - 衡量成功利用的漏洞对完整性的影响,NONE、PARTIAL、COMPLETE、Unknown |
V3Info对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| severity | string | Y | 风险等级 |
| score | string | Y | 漏洞评分 |
| exploitabilityScore | string | Y | 可利用分 |
| impactScore | string | Y | 影响分 |
| vector | string | Y | cvss3.0的vectorString |
| attackComplexity | string | Y | AC 攻击复杂性 - 此指标描述了攻击者无法控制的条件,为了利用此漏洞,必须存在这些条件,LOW、HIGH、Unknown |
| attackVector | string | Y | AV 攻击向量 - 此指标反映了漏洞利用的上下文,NETWORK、ADJACENT、LOCAL、PHYSICAL、Unknown |
| privilegesRequired | string | Y | PR 所需权限 - 此指标描述攻击者在成功利用此漏洞之前必须拥有的权限级别, NONE、LOW、HIGH、Unknown |
| userInteraction | string | Y | UI 用户交互 - 此指标捕获除攻击者以外的用户参与成功入侵易受攻击组件的要求,NONE、REQUIRED、Unknown |
| scope | string | Y | S 影响范围,UNCHANGED、CHANGED、Unknown |
| confidentialityImpact | string | Y | C 保密影响 - 此指标衡量由于成功利用的漏洞而对软件组件管理的信息资源的机密性的影响,NONE、LOW、HIGH、Unknown |
| integrityImpact | string | Y | I 完整性影响 - 此指标衡量成功利用的漏洞对完整性的影响,NONE、LOW、HIGH、Unknown |
| availabilityImpact | string | Y | A 可用性影响 - 此指标衡量成功利用的漏洞对受影响组件可用性的影响,NONE、LOW、HIGH、Unknown |
V31Info对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| severity | string | Y | 风险等级 |
| score | string | Y | 漏洞评分 |
| exploitabilityScore | string | Y | 可利用分 |
| impactScore | string | Y | 影响分 |
| vector | string | Y | cvss3.0的vectorString |
| attackComplexity | string | Y | AC 攻击复杂性 - 此指标描述了攻击者无法控制的条件,为了利用此漏洞,必须存在这些条件,LOW、HIGH、Unknown |
| attackVector | string | Y | AV 攻击向量 - 此指标反映了漏洞利用的上下文,NETWORK、ADJACENT、LOCAL、PHYSICAL、Unknown |
| privilegesRequired | string | Y | PR 所需权限 - 此指标描述攻击者在成功利用此漏洞之前必须拥有的权限级别, NONE、LOW、HIGH、Unknown |
| userInteraction | string | Y | UI 用户交互 - 此指标捕获除攻击者以外的用户参与成功入侵易受攻击组件的要求,NONE、REQUIRED、Unknown |
| scope | string | Y | S 影响范围,UNCHANGED、CHANGED、Unknown |
| confidentialityImpact | string | Y | C 保密影响 - 此指标衡量由于成功利用的漏洞而对软件组件管理的信息资源的机密性的影响,NONE、LOW、HIGH、Unknown |
| integrityImpact | string | Y | I 完整性影响 - 此指标衡量成功利用的漏洞对完整性的影响,NONE、LOW、HIGH、Unknown |
| availabilityImpact | string | Y | A 可用性影响 - 此指标衡量成功利用的漏洞对受影响组件可用性的影响,NONE、LOW、HIGH、Unknown |
ReferenceInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| referName | string | Y | 链接展示名称 |
| referUrl | string | Y | 链接跳转路径 |
AffectPurlInfo对象:
| 定义 | 类型 | 可选 | 描述 |
|---|---|---|---|
| purl | string | Y | 影响组件的purl |
| versionRange | string | Y | 影响组件的版本区间 |
| fix | string | Y | 修改建议 |
| fixUS | string | Y | 英文修复建议 |
输出示例:
{
"code": 200,
"msg": "success",
"data": {
"szNo": "SZ-2024-12773",
"cveNo": "CVE-2024-1598",
"vulnNos": [
"CVE-2024-1598",
"CNNVD-202405-2135"
],
"nameUS": "CVE-2024-1598",
"nameCN": "Phoenix Technologies GeminiLake 安全漏洞",
"cwe": "CWE-Unknown",
"severity": "High",
"utilization": "Unknown",
"factoryFixed": 0,
"fix": "https://www.phoenix.com/security-notifications/cve-2024-1598/",
"availableDifficulty": "MEDIUM",
"publishedDate": "2024-05-14",
"updatedDate": "2024-07-03",
"descCN": "Phoenix Technologies GeminiLake是Phoenix Technologies公司的一款低功耗处理器产品。\r\nPhoenix Technologies GeminiLake存在安全漏洞,该漏洞源于存在缓冲区溢出漏洞。",
"descUS": "Potential buffer overflow \nin unsafe UEFI variable handling \n\nin Phoenix SecureCore™ for Intel Gemini Lake.This issue affects:\n\nSecureCore™ for Intel Gemini Lake: from 4.1.0.1 before 4.1.0.567.",
"references": [
{
"referName": "https://www.phoenix.com/security-notifications/cve-2024-1598/",
"referUrl": "https://www.phoenix.com/security-notifications/cve-2024-1598/"
}
],
"cveVuln": {
"severity": "HIGH",
"publishedDate": "2024-05-14 00:00:00",
"name": "Potential buffer overflow when handling UEFI variables",
"description": "Potential buffer overflow \nin unsafe UEFI variable handling \n\nin Phoenix SecureCore™ for Intel Gemini Lake.This issue affects:\n\nSecureCore™ for Intel Gemini Lake: from 4.1.0.1 before 4.1.0.567.",
"cwe": "CWE-Unknown",
"cna": "Phoenix",
"v2": null,
"v3": null,
"v31": {
"severity": "HIGH",
"score": "7.5",
"exploitabilityScore": null,
"impactScore": null,
"vector": "CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H",
"attackComplexity": "HIGH",
"attackVector": "LOCAL",
"privilegesRequired": "HIGH",
"userInteraction": "NONE",
"scope": "CHANGED",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"availabilityImpact": "HIGH"
}
},
"cnnvdVuln": [
{
"cnnvdNo": "CNNVD-202405-2135",
"name": "Phoenix Technologies GeminiLake 安全漏洞",
"vulnType": "其他",
"description": "Phoenix Technologies GeminiLake是Phoenix Technologies公司的一款低功耗处理器产品。\r\nPhoenix Technologies GeminiLake存在安全漏洞,该漏洞源于存在缓冲区溢出漏洞。",
"referencesList": [
{
"referName": "www.phoenix.com",
"referUrl": "https://www.phoenix.com/security-notifications/cve-2024-1598/"
},
{
"referName": "cxsecurity.com",
"referUrl": "https://cxsecurity.com/cveshow/CVE-2024-1598/"
},
{
"referName": "nvd.nist.gov",
"referUrl": "https://nvd.nist.gov/vuln/detail/CVE-2024-1598"
}
],
"fix": "https://www.phoenix.com/security-notifications/cve-2024-1598/",
"severity": "HIGH",
"publishedDate": "2024-05-14 00:00:00",
"patchList": null
}
],
"affectPurls": [],
"isLogin": null,
"isSubscript": null,
"cnnvdFix": [
"https://www.phoenix.com/security-notifications/cve-2024-1598/"
],
"cnvdFix": null
},
"ok": true
}
