漏洞描述
odoo是一套全球开源的ERP/CRM系统,采用python和PostgreSQL开发,功能模块中包括数据库管理,若数据库管理界面未设置Master Password,或者Master Password口令为弱口令,
可能会导致数据库被下载、恶意备份甚至删除等危害。FoFa: "Odoo" && title=="Odoo"
odoo-manager-disclosure: odoo manager disclosure
PoC代码[已公开]
id: odoo-manager-disclosure
info:
name: odoo manager disclosure
author: li1u
severity: info
verified: true
description: |-
odoo是一套全球开源的ERP/CRM系统,采用python和PostgreSQL开发,功能模块中包括数据库管理,若数据库管理界面未设置Master Password,或者Master Password口令为弱口令,
可能会导致数据库被下载、恶意备份甚至删除等危害。FoFa: "Odoo" && title=="Odoo"
created: 2023/06/01
tags: odoo,disclosure
rules:
r0:
request:
method: GET
path: /web/database/manager
expression: response.status == 200 && response.body.ibcontains(b'<title>Odoo</title>') && response.body.bcontains(b'Backup Database')
expression: r0()