I Found 39 Algolia Admin Keys Exposed Across Open Source Documentation Sites
2 months ago
- #api-keys
- #algolia
- #security
- 发现39个Algolia管理员API密钥在开源文档站点中暴露
- 暴露的密钥拥有完整权限,包括添加对象、删除对象、删除索引和修改设置
- 通过前端爬取、GitHub代码搜索和仓库分析发现了这些密钥
- 受影响项目包括Home Assistant、KEDA和vcluster等知名开源项目
- 密钥暴露可能导致恶意操作,如修改搜索结果或删除索引
- Algolia的DocSearch程序提供仅限搜索的密钥,但许多站点误用了管理员密钥
- 已联系Algolia但未获回应,许多密钥仍处于活跃状态
- 建议:验证前端配置密钥是否为仅限搜索权限,防止暴露风险