天融信数据防泄漏系统越权修改管理员密码
漏洞描述¶
⽆需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd 接⼝未授权访问,造成直接修改任意⽤户密码。:默认superman账户uid为1。
最后更新: 2023-10-12
⽆需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd 接⼝未授权访问,造成直接修改任意⽤户密码。:默认superman账户uid为1。