webERP 访问控制错误漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1449531 漏洞类型 访问控制错误
发布时间 2018-12-25 更新时间 2019-10-23
CVE编号 CVE-2018-20420 CNNVD-ID CNNVD-201812-1069
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201812-1069
|漏洞详情
webERP是一套开源的进销存与财务管理系统(ERP系统)。该系统支持库存管理、权限角色管理、订单管理和财务管理等。 webERP 4.15版本中的Z_CreateCompanyTemplateFile.php文件存在访问控制错误漏洞。攻击者可通过创建模板并借助带有‘../’目录遍历序列的‘TemplateName’参数利用该漏洞覆盖目标网站上已存在的.sql文件。
|参考资料

来源:github.com

链接:https://github.com/eddietcc/CVEnotes/blob/master/webERP_4.15_Z_CreateCompanyTemplateFile/README.md