超级会员免费看
本文介绍了用友GRP-A++综合计划财务产品的安全漏洞,特别是getclassifytree接口存在的未授权访问问题。该漏洞允许攻击者在未经许可的情况下访问系统敏感信息,可能引发数据泄露和系统安全风险。文中还提到了网络测绘和漏洞复现的过程。
产品简介
用友政务GRP-A++综合计划财务产品,以“平台化应用、智能能化管控、专业化服务”为技术、服务理念,以独创的面向“岗位角色”产品定义思想,综合利用JAVA、智能表单、工作流及最新的互联网、云计算、移动应用等先进技术;融合部门综合计划财务管理领域内的预算编报与分配、预算执行控制、资金计划审批、财务报销、合同支付、集中核算、汇总报表、财务监督、领导查询决策,以及财务服务、移动审批等应用共同构成了GRP-A++综合计划财务管理软件平台软件产品。
漏洞概述
用友政务GRP-A++系统getclassifytree接口存在未授权访问漏洞,使攻击者能够在未经授权的情况下访问系统。攻击者通过成功利用此漏洞,可获取对系统敏感信息的未经授权访问权限,从而可能导致数据泄露、信息篡改以及系统的安全性受到威胁。
网络测绘
body=”/pf/portal/login/css/fonts/style.css”
漏洞复现
POC
params: []
name: poc-yaml-用友GRPA++-getclassify
订阅专栏 解锁全文
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
