用友畅捷通CRM存在默认空口令漏洞

用友畅捷通CRM存在默认空口令漏洞

1. 畅捷CRM简介

微信公众号搜索：南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作（市场、销售和服务）、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业，以客户为中心，以客户营销为目的，帮助他们“提升营销能力，网罗天下商机”。

2.漏洞描述

用友畅捷通CRM存在默认空口令漏洞，攻击者可以利用默认口令登录网站后台，以后台权限进行敏感操作，构成信息泄露风险。

3.影响版本

4.fofa 查询语句

title=“畅捷CRM”||icon_hash=“-1068428644”

5.漏洞复现

默认账号 admin 空口令

6.POC&EXP

无

7.整改意见

修改默认口令，口令八位数以上，包括特殊字符，大小写字母，数字

8.往期回顾