CVE-2026-22788WebErpMesv2是一款用于工业的资源管理和制造执行系统Web应用。在1.19版本之前,该应用程序存在严重的未授权访问漏洞,多个敏感的API端点缺少认证中间件保护。未经认证的远程攻击者可以利用此漏洞访问业务关键数据,包括公司信息、报价单、订单、任务和协作白板等敏感内容。此外,攻击者还具有一定的写权限,可以创建公司记录并完全操控协作白板功能。该漏洞可能导致企业敏感商业信息泄露,对企业运营和竞争力造成严重影响。建议受影响的用户尽快升级到1.19或更高版本以修复此安全问题。
该漏洞源于WebErpMesv2应用程序在1.19之前的版本中,多个关键API端点未实施适当的认证中间件。攻击者可通过直接访问这些未保护的API端点来获取敏感数据。漏洞主要涉及以下方面:1) 数据读取权限:攻击者能够访问公司信息、报价单、订单、任务和白板等业务数据;2) 数据写入权限:攻击者可创建公司记录并操作协作白板;3) 利用方式:攻击者无需任何凭证即可发起攻击,仅需构造特定的HTTP请求即可触发漏洞。建议用户升级至1.19版本以获得完整的安全修复。