odoo-manager-disclosure: odoo manager disclosure

日期: 2025-09-01 | 影响软件: odoo manager | POC: 已公开

漏洞描述

odoo是一套全球开源的ERP/CRM系统,采用python和PostgreSQL开发,功能模块中包括数据库管理,若数据库管理界面未设置Master Password,或者Master Password口令为弱口令, 可能会导致数据库被下载、恶意备份甚至删除等危害。FoFa: "Odoo" && title=="Odoo"

PoC代码[已公开]

id: odoo-manager-disclosure

info:
  name: odoo manager disclosure
  author: li1u(https://huclilu.github.io/)
  severity: info
  verified: true
  description: |
      odoo是一套全球开源的ERP/CRM系统,采用python和PostgreSQL开发,功能模块中包括数据库管理,若数据库管理界面未设置Master Password,或者Master Password口令为弱口令,
      可能会导致数据库被下载、恶意备份甚至删除等危害。FoFa: "Odoo" && title=="Odoo"
  created: 2023/06/01
  
rules:
   r0:
      request:
        method: GET
        path: /web/database/manager
      expression: response.status == 200 && response.body.ibcontains(b'<title>Odoo</title>') && response.body.bcontains(b'Backup Database')
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/vulnerability/odoo-manager-disclosure.yaml

相关漏洞推荐