E-message越权访问

admin 2024年10月18日22:47:20评论10 views字数 246阅读0分49秒阅读模式
只有劳动才可能使人在生活中强大。不论什么人,最终还是要崇尚那些能用双手创造生活的劳动者。

漏洞描述

E-message 存在越权访问漏洞,由于配置页面没有做权限设定,导致攻击者可以访问并重置账号密码等操作

漏洞复现

访问安装页面漏洞url:

/setup/setup-datasource-standard.jsp

点击管理员账户选项卡,将会跳转至修改管理员账号密码页面

E-message越权访问

修改后登录即可获取后台权限

E-message越权访问

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

原文始发于微信公众号(儒道易行):E-message越权访问

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月18日22:47:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   E-message越权访问http://cn-sec.com/archives/1882088.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息