文章总结： 友加畅捷管理系统Service/ms_DBList接口存在未授权访问漏洞，攻击者无需认证即可获取敏感信息，可能导致用户列表和配置信息泄露。该漏洞对企业的运营安全和数据隐私构成严重威胁，建议及时更新系统至最新版本以修复此安全风险。 综合评分： 81 文章分类： 漏洞分析,信息泄露,WEB安全,漏洞预警,渗透测试

友加畅捷管理系统 Service/ms_DBLis 未授权访问致信息泄露漏洞

原创

小橘安全屋

小橘安全屋

2025年11月29日 11:36 湖南

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。如有侵权请联系删除。

漏洞说明：

友加畅捷管理系统是一款专为小微商贸流通企业设计的财务业务一体化管理软件，涵盖进销存、财务、分销及移动管理等多个模块，旨在帮助企业实现高效的业务运营和财务核算。该系统的 Service/ms_DBList 接口存在未授权访问漏洞，攻击者无需任何认证即可直接访问该接口，从而获取敏感信息。此漏洞可能导致企业内部数据泄露，包括但不限于用户列表、配置信息等，对企业的运营安全和数据隐私构成严重威胁。

漏洞类型：

信息泄露

漏洞特征：

FOFA：icon_hash="2049187099" || fid="zzt8lL7SUwIIZQXZY6rTSw=="

渗透过程：

通过漏洞特征在FOFA找到目标

通过poc成功访问到敏感信息

修复建议：

及时更新到最新版本

#

查看原文：《友加畅捷管理系统 Service/ms_DBLis 未授权访问致信息泄露漏洞》