漏洞描述
山东博硕自动化技术有限公司 工程拌和站智能管理平台具有项目部浇筑令下发到拌和站及施工队、施工队手机APP申请派车、实验室配比管理、生产派车智能调度、远程集中控制、生产线自动接收任务、车辆排队及运输过程监控、混凝土电子签收、生产进度统计等功能,实现了工程拌和站生产业务的信息化、规范化、智能化,既做到了混凝土生产全过程的闭环精细化控制,又提高了效率,减少了人员参与,降低了工作量。博硕工程拌和站智能管理平台凭证伪造漏洞,该系统鉴权时读取http请求头AppState0的内容,该内容是一个固定的值。存在凭证伪造。攻击者通过该漏洞以管理员权限进入网站后台。