漏洞信息概述 漏洞名称 Himool ERP v2.2 Vulnerability: Unauthenticated Access to /api/admin/update_account/ Allows Arbitrary Creation or Modification of Company Accounts 漏洞分析 原因: 方法在 中,没有实施任何权限控制类。 影响:未认证的攻击者可以直接调用该端点,创建新的公司账户或修改现有的账户,无需任何授权。 漏洞复现步骤 路由配置 API 路由如下配置: 利用场景一:创建一个新公司账户 利用场景二:修改一个现有公司账户 数据库操作影响 bonded 的变化或显示,未直接给出,但推测与账户的创建、修改相关联的数据变更将在数据库中有所体现,如 账户的状态、有效期等信息发生了调整。