青果教务漏洞任意妹子成绩以及照片随便看

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 可以遍历所用用户的成绩和照片,貌似用这个教务的学校不少吧 ### 详细说明: 还是水平权限控制的问题,记得以前几乎所有页面都没进行权限校验,后来修复了,但还是有遗漏 ### 漏洞证明: 1.照片任意遍历 ``` http://ip/jwmis/_photo/student/完整学号.JPG ``` [<img src="https://images.seebug.org/upload/201301/041955549aa955e6d6949ac30d242339ccd9edf5.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201301/041955549aa955e6d6949ac30d242339ccd9edf5.jpg) [<img src="https://images.seebug.org/upload/201301/041956051a2b17907fd6b433aeaf61a411e026c0.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201301/041956051a2b17907fd6b433aeaf61a411e026c0.jpg) 2.成绩任意遍历 ``` http://ip/jwmis/XSCJ/Stu_MyScore_print_rpt.aspx?rpt=1&xh=完整学号 ``` [<img src="https://images.seebug.org/upload/201301/0419562190cf146f00289136ba15085a6563797c.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201301/0419562190cf146f00289136ba15085a6563797c.jpg) [<img...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息