文章总结： 文章分析某BI报表工具在activeEmail功能中的条件性重置密码漏洞，指出系统直接解码infos参数后未充分验证即修改管理员邮箱绑定。关键发现是漏洞利用需要目标配置邮件服务器，作者未提供具体POC但强调技术仅限合法学习用途。建议开发者加强参数校验与权限控制。 综合评分： 72 文章分类： 漏洞分析,WEB安全,应用安全

某BI报表工具重置密码

原创

Ha1ey Ha1ey

安全白白

2026年4月28日 15:54 北京

在小说阅读器读本章

去阅读

。

某BI报表工具重置密码

好久不更新了，水一篇文章

之前在resetPassword和toResetPassword分别出现过重置密码的漏洞，这里写一下另一个有条件的activeEmail

进入方法代码逻辑看，接受了 infos 参数后直接解码，进行了一系列的对比，最后直接修改了 admin 的邮箱绑定。

漏洞利用成功前提需要目标配置邮件服务器，这里就不放POC了。

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全白白 Ha1ey Ha1ey《某BI报表工具重置密码》