灵当CRM 漏洞列表

华天动力OA downloadfortrace.jsp接口处存在任意文件读取漏洞，未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件，使系统处于极不安全的状态。 fofa：body="crmcommon/js/jquery/jquery-1.10.1.min.js" || body="http://localhost:8088/crm/index.php" && body="ldcrm.base.js" || title="灵当CRM"

灵当CRM系统（版本8.6.4.7及更高版本）中发现一个严重漏洞。该漏洞影响文件crm/WeiXinApp/yunzhijia/yunzhijiaApi.php中的delete_user函数。该函数参数的操作会导致SQL注入。该攻击可通过远程方式发起。该漏洞已公开，可能被利用。

灵当CRM的copyLinkToContent功能存在SSRF（服务器端请求伪造）漏洞，攻击者可以通过构造恶意请求，利用受害服务器向任意目标发送请求，可能导致敏感信息泄露或进一步的攻击。

灵当CRM是上海灵当信息科技有限公司开发的一款CRM软件，适用于以销售和服务业务为主的中小型企业。产品功能集销售管理、机会管理、渠道管理、售后服务管理、热线管理、合同管理、收付款管理、库存管理、人事管理、绩效与奖金管理、报表中心、呼叫中心管理于一体，帮助中小型企业实现销售、服务、财务一体化管理。

灵当 CRM 存在文件上传漏洞，攻击者可以通过向 /crm/WeiXinApp/CallRecordLog/getLogInfo.php 接口发送特制的请求包上传恶意文件，从而在服务器上执行任意代码，可能导致敏感信息泄露、数据篡改或服务器被完全控制。

灵当CRM是一款企业客户关系管理系统。该漏洞存在于灵当CRM的XlsFileUpload.php路径，攻击者可以通过上传恶意PHP文件到目标服务器，获取服务器权限。该漏洞影响灵当CRM版本为≤ V8.6.3.3.11，漏洞利用细节已公开，可能导致服务器被完全控制。

灵当CRM<=V8.6.3.3.11 版本的getLogInfo.php文件允许任意文件上传，然后上传php文件进行服务器权限获取

灵当CRM<=V8.6.3.3.11 版本的popup.php文件允许任意文件上传，然后上传php文件进行服务器权限获取

灵当CRM8.6.5版本 copyLinkToContent存在SSRF，攻击者可通过copyLinkToContent的url参数请求任意地址

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

灵当CRM cloudpro/index.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

灵当CRM客户管理系统Playforrecord存在任意文件读取漏洞，攻击者可以读取任意文件，获取敏感信息

灵当CRM标准版是国内最受欢迎的CRM软件，适用于以销售和服务业务为主的中小型企业。该漏洞存在于灵当CRM /crm/WeiXinApp/marketing/index.php接口中的getMyInfo方法，攻击者可以通过构造恶意的SQL语句，利用该漏洞获取服务器的敏感信息，可能导致数据泄露和系统被控制。

灵当CRM标准版是国内最受欢迎的CRM软件，适用于以销售和服务业务为主的中小型企业。该漏洞存在于灵当CRM /crm/WeiXinApp/marketing/index.php接口中的getActionByUser方法，攻击者可以通过构造恶意的SQL语句，利用该漏洞获取服务器的敏感信息，可能导致数据泄露和系统被控制。

灵当CRM标准版是国内最受欢迎的CRM软件，适用于以销售和服务业务为主的中小型企业。该漏洞存在于灵当CRM /crm/WeiXinApp/marketing/index.php接口中的getArticleList方法，攻击者可以通过构造恶意的SQL语句，利用该漏洞获取服务器的敏感信息，可能导致数据泄露和系统被控制。

灵当 CRM 是由上海铃铛信息技术有限公司开发的一款适用于中小型企业的 CRM 软件。该漏洞存在于 灵当 CRM 的 /crm/weixinmp/index.php 文件中，攻击者可以通过构造恶意请求利用文件包含漏洞读取服务器上的任意文件，从而可能导致敏感信息泄露或进一步的服务器权限获取。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

文件删除漏洞通常发生在应用程序未能正确验证用户请求的合法性时，攻击者可以通过构造特定的请求，诱导应用程序删除关键的数据文件，例如数据库文件、备份文件或配置文件等。这种漏洞可能导致数据永久丢失、系统不稳定或无法正常运行，严重时甚至可能导致整个服务的中断。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

灵当CRM是一款专为中小企业打造的智能客户关系管理工具，由上海灵当信息科技有限公司开发并运营。广泛应用于金融、教育、医疗、IT服务、房地产等多个行业领域，帮助企业实现客户个性化管理需求，提升企业竞争力。无论是新客户开拓、老客户维护，还是销售过程管理、服务管理等方面，灵当CRM都能提供全面、高效的解决方案。灵当CRM data/pdf.php 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

灵当CRM致力于为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案,构建全生命周期的数字化管理体系,实现可持续的业绩增长，新一代个性化CRM，聚焦本地私有化部署.实现管理、财务多系统集成，支持多种ERP接口，统一管理数据，共享互联消除信息化孤岛，真正做到数字化管理无障碍。灵当CRM存在前台任意文件读取漏洞,攻击者可读取系统敏感文件

灵当CRM为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案，构建全生命周期的数字化管理体系。 灵当crm /uploadfile&nbsp;接口存在文件上传漏洞，攻击者可通过文件上传点上传任意文件，包括网站后门文件（webshell）控制整个网站。

灵当CRM是深耕13年的个性化CRM专家，致力于通过平台化定制+流程自定义+集成互联+新型互联网技术，打造数字时代背景下的新一代个性化CRM，为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

灵当CRM是一款企业级客户关系管理软件。它旨在帮助企业管理客户信息、销售流程、市场营销活动和客户服务等。灵当crm存在sql注入漏洞，攻击者可以根据该漏洞执行sql语句，获取数据库权限。

灵当CRM是一款企业级客户关系管理软件。它旨在帮助企业管理客户信息、销售流程、市场营销活动和客户服务等。灵当crm存在任意文件上传漏洞，攻击者可以通过该漏洞上传文件获取服务器权限。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

灵当CRM系统的 /crm/weixinmp/index.php 接口存在任意文件写入漏洞。攻击者可以通过发送特制的POST请求，利用该接口写入包含恶意代码的文件，并在服务器上执行该文件。由于缺乏对写入文件类型和路径的有效验证，攻击者能够上传并执行任意代码，从而控制服务器或进行其他恶意操作。

灵当CRM是一款企业级客户关系管理软件。它旨在帮助企业管理客户信息、销售流程、市场营销活动和客户服务等。灵当crm存在任意文件写入漏洞，攻击者可以通过该漏洞写入恶意文件获取服务器权限。

灵当CRM是一款企业级客户关系管理软件。它旨在帮助企业管理客户信息、销售流程、市场营销活动和客户服务等。灵当crm存在任意文件上传漏洞，攻击者可以通过该漏洞上传文件获取服务器权限。

灵当CRM是一款企业级客户关系管理软件。它旨在帮助企业管理客户信息、销售流程、市场营销活动和客户服务等。灵当crm存在sql注入漏洞，攻击者可以根据该漏洞执行sql语句，获取数据库权限。

上海灵当信息科技有限公司-灵当CRM管理控制后台存在未授权访问漏洞，灵当CRM为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案，构建全生命周期的数字化管理体系。该漏洞存在于灵当CRM的管理控制后台登录页面，攻击者可通过注入xss代码，获取用户cookie。

上海灵当信息科技有限公司-灵当CRM管理控制后台存在未授权访问漏洞，灵当CRM为企业提供客户管理数字化、销售管理自动化、服务管理智能化、项目管理一体化的个性化CRM行业解决方案，构建全生命周期的数字化管理体系。该漏洞存在于灵当CRM的管理控制后台登录页面，攻击者通过遍历id可获取企业的ERP账号密码，从而对企业以及企业服务器造成危害。