0x01 產品簡介

秒優科技提供的供應鏈管理系統，即秒優SCM服裝供應鏈管理系統，是一款專為服裝電商企業設計的全方位解決方案。是集款式研發、訂單管理、物料管理、生產管理、工藝管理、收發貨管理、賬單管理、報表管理于一體的服裝電商供應鏈管理解決方案。它涵蓋了從企劃到開發打樣、商品、物料等各個環節，實現了從原材料到成片交付的全流程數字化管理，助力服裝電商企業實現小單品質快反。

0x02 漏洞概述

由于秒優科技-供應鏈管理系統 login/doAction 接口未對用戶傳入的參數進行合理的校驗和過濾，導致傳入的參數直接攜帶到數據庫執行，導致SQL注入漏洞，未經身份驗證的攻擊者可通過此漏洞獲取數據庫權限，深入利用可獲取服務器權限。

0x03 復現環境

FOFA：

app="秒優科技-供應鏈管理系統"

0x04 漏洞復現

PoC

POST /