华夏ERP为中小企业提供开源好用的ERP软件，降低企业的信息化成本，目前专注进销存+财务功能。主要模块有零售管理、入库管理、出库管理、组装拆卸、财务管理、报表查询、基础数据、系统管理等。

漏洞详情
华夏ERP前台存在API接口/user/getAllList，攻击者尝试拼接恶意请求实现未授权访问，可直接获取网站用户的账号、密码、邮箱、手机号等信息，可实现对网站管理权限控制。

影响范围
华夏 ERP 当前全部版本

漏洞复现


修复建议
1. 请关注厂商的修复版本，并及时更新到最新版本。
2. 请对需要访问的IP设置白名单。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.huaxiaerp.com/