0x01 产品简介
秒优科技提供的供应链管理系统,即秒优SCM服装供应链管理系统,是一款专为服装电商企业设计的全方位解决方案。是集款式研发、订单管理、物料管理、生产管理、工艺管理、收发货管理、账单管理、报表管理于一体的服装电商供应链管理解决方案。它涵盖了从企划到开发打样、商品、物料等各个环节,实现了从原材料到成片交付的全流程数字化管理,助力服装电商企业实现小单品质快反。
0x02 漏洞概述
由于秒优科技-供应链管理系统 login/doAction 接口未对用户传入的参数进行合理的校验和过滤,导致传入的参数直接携带到数据库执行,导致SQL注入漏洞,未经身份验证的攻击者可通过此漏洞获取数据库权限,深入利用可获取服务器权限。
0x03 复现环境
FOFA:
app="秒优科技-供应链管理系统"
0x04 漏洞复现
PoC
POST /
