【漏洞复现】明源云ERP报表 GetErpConfig.aspx存在信息泄露漏洞

免责声明

请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、简介

明源云ERP系统是一款云端部署的企业管理解决方案，具备高效、灵活和可定制的特点。通过支持自定义表单、报表、流程等功能，企业可根据需求进行个性化设置，提升管理效率。系统还提供移动端支持，员工可随时随地完成业务操作与数据分析，实现高效协同。此外，其精确的财务数据管理和强大的报表服务，通过数据采集、分析、可视化等功能，帮助企业全面掌控数据，满足多样化需求，显著提升运营效率。

二、漏洞描述

明源云ERP报表服务在 GetErpConfig.aspx 接口处存在未授权信息泄露漏洞，远程攻击者无需身份验证即可利用该漏洞获取内部数据库的敏感配置信息，严重威胁系统安全性。

三、fofa语法

body="报表服务已正常运行"

四、漏洞复现

GET /service/My