锐明技术 Crocus系统 /Home.do GetUserInfo 信息泄露漏洞

影响产品：锐明技术 Crocus系统 CVSS：6.0 漏洞类型：信息泄露 漏洞描述： 锐明技术 Crocus系统是深圳市锐明技术股份有限公司推出的一款智能交通综合管理平台。该系统集视频监控、GPS定位、驾驶员行为分析、油耗管理等多种功能于一体，广泛应用于公交、客运、货运、出租车等交通运输行业，帮助企业实现车辆运营数字化管理。Crocus系统 /Home.do 接口存在信息泄露漏洞，未授权攻击者可通过构造特定请求获取系统用户账号密码等敏感信息，造成严重的数据泄露风险。 影响： 攻击者可利用该漏洞获取系统用户账号密码等敏感信息，包括管理员凭据、用户配置数据等，造成严重的数据泄露风险。泄露的凭据可能被用于登录系统，进一步导致系统被完全控制。 修复建议： 1、对 /Home.do 接口增加身份认证校验，禁止未授权访问。2、限制用户信息的接口访问权限，遵循最小权限原则。3、对敏感数据进行加密存储和传输。4、定期审计系统日志，及时发现异常访问行为。 FOFA： body="/ThirdResource/respond/respond.min.js"