金蝶某重要系统漏洞可导致大量信息泄露以及资金操作

### 简要描述： 金蝶某重要系统漏洞可导致大量信息泄露/可影响在线交易 ### 详细说明： 存在漏洞的系统为 金蝶商城 http://shop.k3cloud.kingdee.com/ 其中 http://shop.k3cloud.kingdee.com/show.aspx?type=1&action=GetImg&pids=1 参数pids存在注入漏洞 ### 漏洞证明： 直接爆出后台管理员密码： [<img src="https://images.seebug.org/upload/201512/022349299319e0dfffe76afb708fe350db07882e.png" alt="QQ图片20151202234547.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201512/022349299319e0dfffe76afb708fe350db07882e.png) 密码比较简单，登陆后后台，有大量会员信息 包括16位MD5密码，部分信息如下： [<img src="https://images.seebug.org/upload/201512/02235051fe8ea89cc7e07756e87cf4a68dde1738.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201512/02235051fe8ea89cc7e07756e87cf4a68dde1738.png) 另外可以在线生成礼品卡，可以换取商品： [<img src="https://images.seebug.org/upload/201512/02235135f71bb3922c7b74cabd8a0b6803f8654a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201512/02235135f71bb3922c7b74cabd8a0b6803f8654a.png) 总之 后台功能比较强大，权限大 可以更改添加商品 修改商品价格等等，危害相当严重！ [<img src="https://images.seebug.org/upload/201512/022353006256dd9d4b11b1117f6422e387ca9729.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201512/022353006256dd9d4b11b1117f6422e387ca9729.png) 以上仅作证明，不再深入，请尽快修复！