华夏ERP基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务+生产功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有商品库存、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。
华夏 ERP 账号密码泄露 本质上应该并不仅仅是账号密码泄露,应该是全局的越权操作
漏洞复现
http://10.0.21.13:3000/jshERP-boot/user/getAllList;.ico
md5 解密密码就可以得到对应的值
漏洞分析
com.jsh.erp.filter.LogCostFilter#doFilter
我们在这里看到对路由的相关鉴权操作,发现如果请求的url 中存在 .ico 就直接绕过检测
com.jsh.erp.filter.LogCostFilter#verify
com.jsh.erp.controller.UserController#getAllList
漏洞修复
还没有发布修复的版本,但是在最新的代码中已经修复了
我们可以通过对比查看修复代码,得到漏洞产生的原因
从过滤器中去掉.ico
https://gitee.com/jishenghua/JSH_ERP/commit/21ae3e8a216e89b91a271d27dac1984393ce4a75
