0x01 产品简介

秒优科技提供的供应链管理系统，即秒优SCM服装供应链管理系统，是一款专为服装电商企业设计的全方位解决方案。是集款式研发、订单管理、物料管理、生产管理、工艺管理、收发货管理、账单管理、报表管理于一体的服装电商供应链管理解决方案。它涵盖了从企划到开发打样、商品、物料等各个环节，实现了从原材料到成片交付的全流程数字化管理，助力服装电商企业实现小单品质快反。

0x02 漏洞概述

由于秒优科技-供应链管理系统 login/doAction 接口未对用户传入的参数进行合理的校验和过滤，导致传入的参数直接携带到数据库执行，导致SQL注入漏洞，未经身份验证的攻击者可通过此漏洞获取数据库权限，深入利用可获取服务器权限。

0x03 复现环境

FOFA：

app="秒优科技-供应链管理系统"

0x04 漏洞复现

PoC

POST /