【漏洞复现】优卡特脸爱云一脸通智慧管理平台信息泄露漏洞

最新推荐文章于 2024-08-07 15:41:06 发布
最新推荐文章于 2024-08-07 15:41:06 发布
阅读量633 收藏 7
点赞数 11
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135532548
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

本文介绍了脸爱云一脸通智慧管理平台存在的信息泄露漏洞,攻击者能通过访问特定URL获取管理员账号和密码。详细展示了漏洞复现过程,并给出了修复建议,即联系软件供应商解决此问题。
摘要由CSDN通过智能技术生成

Nx01 产品简介

        脸爱云一脸通智慧管理平台是一套功能强大,运行稳定,操作简单方便,用户界面美观,轻松统计数据的一脸通系统。无需安装,只需在后台配置即可在浏览器登录。  功能包括:系统管理中心、人员信息管理中心、设备管理中心、消费管理子系统、订餐管理子系统、水控管理子系统、电控管理子系统、考勤管理子系统、门禁通道管理子系统、会议签到管理子系统、访客管理子系统。

Nx02 漏洞描述

        深圳市优卡特电子有限公司脸爱云一脸通智慧管理平台存在信息泄露漏洞。攻击者可以访问/View/Operators/addOperators.aspx?username=admin获取管理员账号及密码。

Nx03 产品主页

web.body="View/UserReserved/UserReservedTest.aspx"

Nx04 漏洞复现

POC:

/View/Operators/addOperators.aspx?username=admin

拼接URL即可获取管理员密码。

使用获取的密码进行登录系统。

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

CVE-2023-6099:卡特脸爱云一脸智慧管理平台SystemMng.ashx接口未授权漏洞复现
薛定谔嘚喵博客
11-23 281
脸爱云一脸智慧管理平台/SystemMng.ashx接口处存在未授权漏洞过输入00操纵参数operatorRole,导致特权管理不当,未经身份认证的攻击者可以过此漏洞创建超级管理员账户,造成信息泄露和后台接管。
漏洞复现脸爱云一脸智慧平台-信息泄露-UserMng
知黑而守白
06-19 37
脸爱云一脸智慧平台是一项整合了人脸识别技术和智能化解决方案的综合性平台过脸部识别技术,该平台可以实现识别和管理个体身份,为各种场景提供便捷的身份验证和管理功能。同时,结合了智能化的算法和平台支持,脸爱云一脸智慧平台能够在安防、门禁、考勤等领域发挥重要作用,提升管理效率和安全性。脸 脸爱云一脸智慧平台接口处存在信息泄露漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如账号密码等。
脸爱云一脸智慧管理平台未授权访问
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-23 919
脸爱云一脸智慧管理平台存在严重漏洞,允许攻击者过未经授权的访问,在系统中任意添加用户。攻击者可滥用此漏洞创建虚假账户,提升权限,或执行其他危险操作。成功利用漏洞可能导致未经授权的系统访问,危及用户隐私和整体系统安全
【CVE-2023-6099】卡特脸爱云一脸智慧管理平台权限绕过漏洞(2023年11月发布)
m0_73896875的博客
11-22 929
卡特脸爱云一脸智慧管理平台/SystemMng.ashx接口处存在权限绕过漏洞过输入00操纵参数operatorRole,导致特权管理不当,未经身份认证的攻击者可以过此漏洞创建超级管理员账户,造成信息泄露和后台接管漏洞等级高危影响版本漏洞类型身份认证绕过。
漏洞复现脸爱云一脸智慧管理平台SelOperators信息泄露漏洞
晚风不及你
04-24 87
深圳市卡特电子有限公司脸爱云一脸智慧管理平台存在SelOperators信息泄露漏洞,攻击者可以过此漏洞获取当前系统用户敏感信息
卡特脸爱云一脸智慧平台 UpLoadPic.ashx 文件上传致RCE漏洞复现
0xSec
04-29 409
脸爱云一脸智慧管理平台/UpLoadPic.ashx接口处存在文件上传漏洞,未经身份认证的攻击者可以过此漏洞上传恶意后门文件,造成信息泄露和后台接管(edu刷分神洞)
漏洞复现卡特脸爱云一脸智慧管理平台权限绕过漏洞CVE-2023-6099(1day)
失心少年
01-14 273
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!脸爱云一脸智慧管理平台1.0.55.0.0.1及其以下版本SystemMng.ashx接口处存在权限绕过漏洞过输入00操纵参数operatorRole,导致特权管理不当,未经身份认证的攻击者可以过此漏洞创建超级管理员账户。登录后台可以看到拥有管理员权限。
漏洞复现是什么如何复现.txt
01-31
漏洞复现
漏洞复现是什么.txt
01-31
漏洞复现
vulhub漏洞复现 CVE-2016-3088
03-14
vulhub漏洞复现 CVE-2016-3088
脸爱云一脸智慧管理平台 SystemMng 管理用户信息泄露漏洞(XVE-2024-9382)
0xSec
05-01 573
脸爱云一脸智慧管理平台存在信息泄露漏洞,该漏洞源于SystemMng.ashx接口处存在信息泄露漏洞,攻击者能够利用该漏洞过SelOperators参数泄露的当前管理员的敏感信息包括账号密码登录系统后台。
漏洞复现脸爱云一脸智慧平台-信息泄露-SystemMng
知黑而守白
06-19 39
脸爱云一脸智慧平台是一项整合了人脸识别技术和智能化解决方案的综合性平台过脸部识别技术,该平台可以实现识别和管理个体身份,为各种场景提供便捷的身份验证和管理功能。同时,结合了智能化的算法和平台支持,脸爱云一脸智慧平台能够在安防、门禁、考勤等领域发挥重要作用,提升管理效率和安全性。脸爱云一脸智慧平台接口处存在信息泄露漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如账号密码等。
最新0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 627
U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
漏洞复现脸爱云一脸智慧管理平台UserMng信息泄露漏洞
晚风不及你
04-24 73
深圳市卡特电子有限公司脸爱云一脸智慧管理平台UserMng.ashx存在信息泄露漏洞,攻击者可以过此漏洞获取当前系统用户敏感信息
(新接口)用友GRP-U8多个接口存在SQL 注入漏洞-0day
weixin_43167326的博客
02-22 424
用友GRP-U8是用友公司推出的一款企业级管理软件,涵盖财务、人力资源、供应链等多个领域,适用于各类企业。该系统拥有灵活的定制化功能,可根据企业需求进行模块选择和定制开发,满足不同行业的管理需求。用友GRP-U8整合了企业各业务环节,实现信息共享和流程化,帮助企业提高管理效率,降低成本,提升竞争力。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 961
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
Gartner发布2024年网络风险管理成熟度曲线:使网络安全战略与业务目标保持一致的概念、方法、流程和技术
最新发布
lurenjia404的博客
08-07 729
网络风险管理现在是高管和监管机构最关注的问题,它采用多种方法和技术来支持治理、风险管理和合规性。安全和风险管理领导者可以使用此技术成熟度曲线来评估解决方案并做出适当的采用决策。
漏洞复现:验证、评估与安全实践的关键步骤
1. 验证漏洞的真实性:复现,研究人员可以确认漏洞报告是否准确无误,避免因错误报告导致的资源浪费和潜在风险。 2. 风险评估:复现漏洞有助于确定漏洞可能带来的实际危害,从而为风险管理和防护策略的制定提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值