悟空crm数据权限控制不当以致绕过访问

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 权限验证设计不当可以绕过 员工可访问任意其他员工的数据并分享及修改删除操作 ### 详细说明: 用户 mia 并无负责客户也没有被共享客户 [<img src="https://images.seebug.org/upload/201511/201752589528e9add422ecc9ab96b68e9131b70b.jpg" alt="noinfor.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/201752589528e9add422ecc9ab96b68e9131b70b.jpg) 通过遍历id 可以访问test用户创建的客户 如 http://crm.demo.5kcrm.com/index.php?m=customer&a=view&id=596&content= [<img src="https://images.seebug.org/upload/201511/2017573854e42c3da6dbea6fd6705bfc3f8490c7.jpg" alt="20.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/2017573854e42c3da6dbea6fd6705bfc3f8490c7.jpg) ### 漏洞证明: 用户mia和test无上下级关系 [<img src="https://images.seebug.org/upload/201511/201759174d5d8d32217a5aae3965bec80a64a04d.jpg" alt="nopermit.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/201759174d5d8d32217a5aae3965bec80a64a04d.jpg) mia可以访问test未分享的客户 [<img...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息