关于华夏ERP敏感信息泄露漏洞的安全告知
时间:2023-11-26 11:36:00来源:信息安全服务部作者:开yun体育官网入口
华夏ERP为中小企业提供开源好用的ERP软件,降低企业的信息化成本,目前专注进销存+财务功能。主要模块有零售管理、入库管理、出库管理、组装拆卸、财务管理、报表查询、基础数据、系统管理等。
漏洞详情
华夏ERP前台存在API接口/user/getAllList,攻击者尝试拼接恶意请求实现未授权访问,可直接获取网站用户的账号、密码、邮箱、手机号等信息,可实现对网站管理权限控制。
影响范围
华夏 ERP 当前全部版本
漏洞复现
修复建议
1. 请关注厂商的修复版本,并及时更新到最新版本。
2. 请对需要访问的IP设置白名单。
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
参考链接
https://www.huaxiaerp.com/