跳转至

天融信数据防泄漏系统越权修改管理员密码

漏洞描述

⽆需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd 接⼝未授权访问,造成直接修改任意⽤户密码。:默认superman账户uid为1。