关键漏洞信息 漏洞编号: CVE-2020-13474 受影响软件: NCH Express Accounts 漏洞类型: 特权提升 受影响版本: 8.24及更早版本 漏洞作者: Tejas Nitin Pingulkar 是否存在利用方法: 是 软件介绍 Express Accounts 是一款专业的商业会计软件,非常适合需要记录和报告收入和支出现金流量的小型企业,包括销售、收据、支付和采购。 详细信息 该软件允许通过网络访问。 网页界面提供三种类型的用户: - 管理员 - 用户 - 查看者 管理员用户可以访问所有模块,包括创建新发票、创建新报价、创建新销售订单、创建新采购订单、应用客户付款、查看贷记票据、输入新应付账款、查看账户图、付款、接收付款、添加新项目、添加新产品、供应商列表和添加/编辑用户。 具有查看者权限的用户无法通过强制浏览访问上述功能。我们将使用查看者用户权限访问管理模块。 利用方法 为概念验证创建了以下用户: - 管理员用户:admin@tejas.com - 查看者用户:lowuser@tejas.com 利用URL