亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

2024年9月26日11:25:28评论95 views字数 549阅读1分49秒阅读模式

00产品简介

某赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全加密软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产，对电子文档进行全生命周期防护，系统具有透明加密、主动加密、智能加密等多种加密方式，用户可根据部门涉密程度的不同（如核心部门和普通部门），部署力度轻重不一的梯度式文档加密防护，实现技术、管理、审计进行有机的结合，在内部构建起立体化的整体信息防泄露体系，使得成本、效率和安全三者达到平衡，实现电子文档的数据安全。

01漏洞概述

某赛通电子文档安全管理系统 /CDGServer3/openapi/getAllUsers 接口处存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取后台账号密码等敏感信息，进一步MD5解密即可登录后台，使系统处于极不安全的状态。

02搜索引擎

FOFA:

body="/CDGServer3/index.jsp"

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

03漏洞复现

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

密码拿去md5解密即可登录系统

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

04检测工具

nuclei

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

afrog

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

xray

亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

05

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

06

原文始发于微信公众号（nday POC）：【漏洞复现】某赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322)

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

吉大正元身份认证网关 downTools 任意文件读取漏洞 POC

漏洞预警：CVE-2024-26809利用nftables双重释放漏洞获取Root权限

Docker Desktop信息泄露漏洞(CVE-2025-1696)

CVE-2025-29774/CVE-2025-29775: xml-crypto XML Signature Wrapping

【成功复现】DocsGPT远程代码执行漏洞 (CVE-2025-0868)

漏洞复现 || XWiki Platform系统远程代码执行 POC

用友NC files 反序列化RCE

【高危漏洞预警】Elastic Kibana需授权代码注入漏洞 (CVE-2025-25014)

本文由 admin 发表于 2024年9月26日11:25:28
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
亿赛通电子文档安全管理系统 getAllUsers 信息泄露漏洞https://cn-sec.com/archives/3123387.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

8888