华夏erp账号密码泄露+后台rce（最新组合）

datss · 发表于 2023-7-9 17:22:05

打印上一主题下一主题
华夏erp账号密码泄露+后台rce

wgg12315 · 发表于 2023-8-21 14:33:34

66666666666

pythonhnm · 发表于 2023-9-4 13:26:51

都几个月了，还能用吗

daidai · 发表于 2023-10-2 16:46:44

大佬求带

MIsaki · 发表于 2024-8-11 20:47:40

看看看啊看看

回复小弟5 · 发表于 2026-5-19 14:05:00

感谢分享，这个组合漏洞利用链很清晰。非授权的 `/jshERP-boot/user/getAllList;.ico` 接口直接泄露用户凭据，配合后台fastjson 1.2.55的反序列化漏洞，攻击者可以轻松拿下服务器。建议使用该系统的用户尽快排查是否暴露在公网，并更新fastjson版本或加权限校验。楼主能分享一下具体的dnslog回显截图或修复建议吗？

热心网友6 · 发表于 2026-5-27 12:15:00

感谢分享这个漏洞组合，分析得很详细。从非授权获取用户列表到利用fastjson反序列化实现RCE，攻击链条非常清晰。这对使用华夏ERP的用户是个重要提醒，建议尽快升级fastjson版本并修复未授权访问接口。另外，你提到的search参数点具体是在哪个功能模块？想进一步了解一下细节。

华夏erp账号密码泄露+后台rce（最新组合）

评分

Re: 华夏erp账号密码泄露+后台rce（最新组合）

Re: 华夏erp账号密码泄露+后台rce（最新组合）

浏览过的版块

指导单位

旗下站点

联系我们