|金蝶政务GSiS服务平台多处越权访问（可越权添加管理员）

金蝶政务GSiS服务平台多处越权访问（可越权添加管理员）

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： GSiS政务服务平台：首个完全根据国家政策要求全新开发的，支撑政务服务体系和行政权力监督体系融合运转的一体化平台。存在越权，可直接查看管理员密码、添加管理员、删除管理员、删除申请单、修改配置等等，所以自认为属于高危了 ### 详细说明：程序名称：Kingdee GSIS 开发公司：金蝶漏洞类型：越权访问漏洞文件： /kdgs/core/superuser/superUserList.jsp 可修改管理员 /kdgs/core/superuser/list.jsp /kdgs/core/superuser/save.action 越权添加管理员 /kdgs/core/superuser/personalSetting.jsp /kdgs/core/superuser/superUserContent.jsp /kdgs/core/task/list.jsp 可新建任务 admin/clearHis.jsp 删除申请单 admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置关键词：inurl:/kdgs/ 漏洞成因：对权限没有很好的过滤，只是判断session中是否有值，导致普通用户可访问管理功能漏洞利用：注册一个普通用户，直接访问越权地址，然后XXOO 实例演示：这里用的演示站：http://*******.gov.cn/kdgs/ 注册就不多说了，上一个漏洞及前辈都提到了，URL：http://xxxx.xxx//kdgs/biz/portal/login/login.action 越权1： http://*******.gov.cn/kdgs/core/superuser/superUserList.jsp 可修改管理员 [<img src="https://images.seebug.org/upload/201410/291011478bb75f53bf9252e0deec3361f6c47533.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291011478bb75f53bf9252e0deec3361f6c47533.jpg) 点击修改直接查看管理员密码 [<img src="https://images.seebug.org/upload/201410/2910125076a309053bc8e2d7425a64fc80a2e260.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2910125076a309053bc8e2d7425a64fc80a2e260.jpg) 另一个站： [<img src="https://images.seebug.org/upload/201410/29101946ef16104082b20604db3002312bd6775a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29101946ef16104082b20604db3002312bd6775a.jpg) [<img src="https://images.seebug.org/upload/201410/291020264d9f99c785923a7686178f97dce9c07c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291020264d9f99c785923a7686178f97dce9c07c.jpg) 越权2： /kdgs/core/superuser/list.jsp 新建处可添加管理员 [<img src="https://images.seebug.org/upload/201410/29102135fae2c53313198848ad9325414e4e0d8e.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102135fae2c53313198848ad9325414e4e0d8e.jpg) 越权3： /kdgs/core/superuser/save.action 越权添加管理员可直接添加管理员 [<img src="https://images.seebug.org/upload/201410/2910225963e7e8b47e27b8fb0680bd1ec9858645.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2910225963e7e8b47e27b8fb0680bd1ec9858645.jpg) 保存成功 [<img src="https://images.seebug.org/upload/201410/291024070043a9f40071225a3ce31c820b4cdf52.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291024070043a9f40071225a3ce31c820b4cdf52.jpg) 登录看看： [<img src="https://images.seebug.org/upload/201410/291025529666199f864ec16399340925b4ef7b48.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291025529666199f864ec16399340925b4ef7b48.jpg) 这两个还是跟用户有关，就不演示了 /kdgs/core/superuser/personalSetting.jsp /kdgs/core/superuser/superUserContent.jsp 越权4： /kdgs/core/task/list.jsp 可新建任务，执行脚本 [<img src="https://images.seebug.org/upload/201410/29102813d74179e2b2f7c135c2d2b0e0508232db.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102813d74179e2b2f7c135c2d2b0e0508232db.jpg) 越权5： admin/clearHis.jsp 删除申请单，这个可能影响正常业务，就不演示删除了 [<img src="https://images.seebug.org/upload/201410/291029114651311272f85ad129f6e6ecde08313b.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291029114651311272f85ad129f6e6ecde08313b.jpg) 越权6： admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置 [<img src="https://images.seebug.org/upload/201410/29102955880b350857bcffd51fe937cfe52ded96.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102955880b350857bcffd51fe937cfe52ded96.jpg) ### 漏洞证明：如上

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™