TPLUS 漏洞列表

该系统的keyEdit.aspx接口存在sql注入漏洞 fofa：app="畅捷通-TPlus"

fofa: app="畅捷通-TPlus"

用友畅捷通Tplus存在前台远程代码执行漏洞，攻击者可利用GetStoreWarehouseByStore 方法注入序列化的payload，执行任意命令。最终造成服务器敏感性信息泄露或代码执行。 app="畅捷通-TPlus"

The plugin does not sanitise and escape the updraft_interval parameter before outputting it back in an admin page, leading to a Reflected Cross-Site Scripting (XSS) vulnerability.

畅捷通T+的某后台功能点只校验了权限，未对用户的输入进行过滤，导致在权限绕过后存在SQL注入漏洞，利用此漏洞攻击者最终可以实现远程命令执行。

畅捷通t+作为用友集团成员企业畅捷通公司的核心产品之一，其定位为企业级财务管理工具，不仅帮助企业实现财务流程自动化，更通过集成erp系统，助力企业在数字化转型过程中提升运营效率。该漏洞是服务器端请求伪造 (SSRF)，允许攻击者强制服务器向内部或外部资源发出请求，可能导致敏感信息泄露、内部系统访问、端口扫描以及绕过安全控制，从而显著增加数据泄露和系统入侵的风险。

bootplus是基于SpringBoot + Shiro +MyBatisPlus的权限管理框架，该系统拥有接口管理，权限管理，监控组件等功能的一体化权限管理框架.其中download接口存在任意文件下载,攻击者可以有效对系统文件进行读取。

bootplus是JoeyBling个人开发者的一个权限管理框架。 bootplus存在代码问题漏洞，该漏洞源于文件src/main/java/io/github/controller/SysFileController.java的参数PortraitFile会导致不受限制的上传。

bootplus是JoeyBling个人开发者的一个权限管理框架。 bootplus存在路径遍历漏洞，该漏洞源于文件src/main/java/io/github/controller/SysFileController.java的参数name会导致路径遍历。

bootplus是JoeyBling个人开发者的一个权限管理框架。 bootplus存在注入漏洞，该漏洞源于文件/admin/sys/menu/list的参数sort/order会导致SQL注入。

畅捷通T+是由用友软件开发的一款新型互联网企业管理软件，全面满足成长型小微企业对其灵活业务流程的管控需求，重点解决往来业务管理、订单跟踪、资金、库存等管理难题。T+结合畅捷通100多万中小企业的管理经验，采用完全B/S结构及.NET先进开发技术，通过解决中小企业管理现状的重点问题，以及对业务过程主要环节的控制与管理，提升管理水平，为企业带来更多管理价值。畅捷通-TPlus 存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感信息。

畅捷通T+ 是一款智慧、灵动、时尚的基于互联网时代的企业管理软件。畅捷通T+ DownloadProxy.aspx 存在任意文件读取漏洞，攻击者可读取web.config等敏感信息进一步控控制服务器权限。