1. 接口描述
接口请求域名: cwp.tencentcloudapi.com 。
漏洞详情,带CVSS版本
默认接口请求频率限制:20次/秒。
推荐使用 API Explorer
点击调试
API Explorer 提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力。您可查看每次调用的请求内容和返回结果以及自动生成 SDK 调用示例。
2. 输入参数
以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数。
| 参数名称 | 必选 | 类型 | 描述 |
|---|---|---|---|
| Action | 是 | String | 公共参数,本接口取值:DescribeVulInfoCvss。 |
| Version | 是 | String | 公共参数,本接口取值:2018-02-28。 |
| Region | 否 | String | 公共参数,此参数为可选参数。 |
| VulId | 是 | Integer | 漏洞id 示例值:1 |
| Source | 否 | String | 兼容应用防护漏洞防御容器视角告警里漏洞详情,默认是主机视角,可选字段,Source=tcss则为容器视角漏洞详情,后端会把VulId转为主机vul_vuls里的VulId 示例值:tcss |
3. 输出参数
| 参数名称 | 类型 | 描述 |
|---|---|---|
| VulId | Integer | 漏洞id 示例值:1 |
| VulName | String | 漏洞名称 示例值:Apache OFBiz SSRF到远程代码执行漏洞(CVE-2024-45507) |
| VulLevel | Integer | 危害等级:1-低危;2-中危;3-高危;4-严重 示例值:1 |
| VulType | Integer | 漏洞分类 1: web-cms漏洞 2:应用漏洞 4: Linux软件漏洞 5: Windows系统漏洞 示例值:1 |
| Description | String | 漏洞描述信息 示例值:Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。 |
| RepairPlan | String | 修复方案 示例值:官方已发布漏洞补丁及修复版本,请您评估您的业务是否受到影响,酌情升级至安全版本。\n【注意】:建议您升级前备份数据,以免发生意外。\nhttps://ofbiz.apache.org/download.html |
| CveId | String | 漏洞CVEID 示例值:1 |
| Reference | String | 参考链接 示例值: https://ofbiz.apache.org/download.html https://ofbiz.apache.org/security.html https://issues.apache.org/jira/browse/OFBIZ-13132 |
| CVSS | String | CVSS信息 示例值:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| PublicDate | String | 发布时间 示例值:2024-09-04 |
| CvssScore | Integer | Cvss分数 示例值:7.5 |
| CveInfo | String | cvss详情 示例值:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CvssScoreFloat | Float | cvss 分数 浮点型 示例值:1 |
| Labels | String | 漏洞标签 多个逗号分割 示例值:标签1,标签2 |
| DefenseAttackCount | Integer | 已防御的攻击次数 示例值:12 |
| SuccessFixCount | Integer | 全网修复成功次数, 不支持自动修复的漏洞默认返回0 示例值:1 |
| FixSwitch | Integer | 修复是否支持:0-windows/linux均不支持修复 ;1-windows/linux 均支持修复 ;2-仅linux支持修复;3-仅windows支持修复 示例值:1 |
| SupportDefence | Integer | 是否支持防御: 0-不支持 1-支持 示例值:1 |
| RequestId | String | 唯一请求 ID,由服务端生成,每次请求都会返回(若请求因其他原因未能抵达服务端,则该次请求不会获得 RequestId)。定位问题时需要提供该次请求的 RequestId。 |
4. 示例
示例1 漏洞详情,带CVSS版本
漏洞详情,带CVSS版本
输入示例
POST / HTTP/1.1
Host: cwp.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeVulInfoCvss
<公共请求参数>
{
"VulId": "100441"
}输出示例
{
"Response": {
"CveId": "1",
"CvssScore": 1,
"Description": "ad",
"Reference": "fs",
"VulName": "漏洞1",
"CveInfo": "AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"CvssScoreFloat": 9.9,
"VulType": 1,
"VulLevel": 2,
"RequestId": "354f4ac3-8546-4516-8c8a-69e3ab73aa8a",
"VulId": 100441,
"RepairPlan": "13412",
"CVSS": "AV:L/AC:L/Au:N/C:N/I:P/A:N",
"Labels": "tag1,tag2",
"DefenseAttackCount": 1,
"SuccessFixCount": 1,
"FixSwitch": 0,
"PublicDate": "2020-12-30:00:00:00"
}
}示例2 漏洞防御容器视角漏洞详情
漏洞防御容器视角漏洞详情
输入示例
POST / HTTP/1.1
Host: cwp.tencentcloudapi.com
Content-Type: application/json
X-TC-Action: DescribeVulInfoCvss
<公共请求参数>
{
"VulId": 396620,
"Source": "tcss"
}输出示例
{
"Response": {
"CVSS": "AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
"CveId": "CVE-2023-25194",
"CveInfo": "",
"CvssScore": 9,
"CvssScoreFloat": 8.8,
"DefenseAttackCount": 0,
"Description": "Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统,可以处理消费者在网站中的所有动作流数据。Kafka Connect 是一种工具,用于在 Apache Kafka 和其他数据系统之间以可扩展且可靠的方式传输数据。Kafka 2.3.0 至 3.3.2 版本中,具有 Kafka Connect worker 访问权限且可以创建/修改 Connect 的攻击者可通过将 Connect 的任意 Kafka 客户端的 sasl.jaas.config 属性设置为 com.sun.security.auth.module.JndiLoginModule(此操作可通过 producer.override.sasl.jaas.config 、consumer.override.sasl.jaas.config 或 admin.override.sasl.jaas.config 属性完成),进而可将 Connect 的属性user.provider.url设置为攻击者可控的 LDAP 服务器地址,并通过 Connect 反序列化可控的 LDAP 响应远程执行恶意代码或造成拒绝服务。",
"FixSwitch": 0,
"Labels": "必修漏洞,远程利用",
"PublicDate": "2023-02-08 00:00:00",
"Reference": "https://kafka.apache.org/cve-list,https://lists.apache.org/thread/vy1c7fqcdqvq5grcqp6q5jyyb302khyz",
"RepairPlan": "目前 Apache 官方已发布此漏洞修复版本,建议用户尽快升级至 Apache Kafka3.4 及以上版本。参考链接: https://github.com/apache/kafka/releases/tag/3.4.0。暂时无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。",
"RequestId": "02e1ac7f-5011-4677-8bab-45c5151908d2",
"SuccessFixCount": 0,
"SupportDefence": 1,
"VulId": 102518,
"VulLevel": 3,
"VulName": "Apache Kafka Connect 远程代码执行漏洞(CVE-2023-25194)",
"VulType": 2
}
}5. 开发者资源
腾讯云 API 平台
腾讯云 API 平台 是综合 API 文档、错误码、API Explorer 及 SDK 等资源的统一查询平台,方便您从同一入口查询及使用腾讯云提供的所有 API 服务。
API Inspector
用户可通过 API Inspector 查看控制台每一步操作关联的 API 调用情况,并自动生成各语言版本的 API 代码,也可前往 API Explorer 进行在线调试。
SDK
云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。
- Tencent Cloud SDK 3.0 for Python: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Java: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for PHP: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Go: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Node.js: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for .NET: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for C++: CNB, GitHub, Gitee
- Tencent Cloud SDK 3.0 for Ruby: CNB, GitHub, Gitee
命令行工具
6. 错误码
以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码。
| 错误码 | 描述 |
|---|---|
| InternalError | 内部错误。 |
| InvalidParameter | 参数错误。 |
| InvalidParameter.IllegalRequest | 非法请求。 |
| InvalidParameter.InvalidFormat | 参数格式错误。 |
| InvalidParameter.MissingParameter | 参数缺失。 |
| InvalidParameter.ParsingError | 参数解析错误。 |
| InvalidParameterValue | 参数取值错误。 |
| MissingParameter | 缺少参数错误。 |
