漏洞描述
畅捷通t+作为用友集团成员企业畅捷通公司的核心产品之一,其定位为企业级财务管理工具,不仅帮助企业实现财务流程自动化,更通过集成erp系统,助力企业在数字化转型过程中提升运营效率。该漏洞是服务器端请求伪造 (SSRF),允许攻击者强制服务器向内部或外部资源发出请求,可能导致敏感信息泄露、内部系统访问、端口扫描以及绕过安全控制,从而显著增加数据泄露和系统入侵的风险。
用友畅捷通-TPlus系统 /tplus/ajaxpro/Ufida.T.SM.UIP.UA.AddressSettingController,Ufida.T.SM.UIP.ashx 服务器端请求伪造漏洞
PoC代码
暂无相关漏洞推荐
- chanjet-tplus-checkpassword-sqli: 用友 畅捷通T+ CheckPassword SQL注入漏洞
- POC CVE-2022-0864: UpdraftPlus < 1.22.9 - Cross-Site Scripting
- POC changjietong-tplus-keyedit-sqli: 畅捷通TPlus-keyEdit.aspx-SQL注入漏洞
- POC chanjet-tplus-checkmutex-sqli: Chanjet Tplus CheckMutex SQL Injection
- POC chanjet-tplus-rce: 畅捷通 T+ 远程命令执行
- POC CNVD-2023-48562: Chanjet TPlus GetStoreWarehouseByStore - Remote Command Execution
- POC chanjet-tplus-unauth-passreset: Chanjet Tplus - Unauthorized Password Reset
- POC chanjet-tplus-checkmutex-sqli: Chanjet Tplus CheckMutex - SQL Injection
- POC chanjet-tplus-file-read: Chanjet TPlus DownloadProxy.aspx - Arbitrary File Read
- POC chanjet-tplus-fileupload: UFIDA Chanjet TPluse Upload.aspx - Arbitrary File Upload
- POC chanjet-tplus-ufida-sqli: Chanjet TPluse Ufida.T.SM.Login.UIP - SQL injection
- 畅捷通TPLUS AccountClearControler SQL注入漏洞
- 畅捷通T+ GetisInitBCRetail /tplus/ajaxpro/Ufida.T.SM.UIP.Tool.AccountClearControler,Ufida.T.SM.UIP.ashx SQL 注入漏洞