1、phpinfo页面泄露了大量信息 2、存在目录穿越问题，多个配置文件可低权限访问，数据库密码泄露 3、经验证此站因信息泄露，网站可上传webshell，导致后续一系列问题且可被提权。 4、因涉及到敏感信息，为保护企业隐私，并未做更多提交，故而未得到漏洞分级。

1、管理后台出现弱口令，且可爆破 2、错误提示简单，只提示了密码有错并未提示用户名问题 3、经验证为一处弱口令密码。

1、会员个人中心内存在CSRF漏洞，可在本地执行篡改会员个人信息 2、通过bp软件抓包修改包内数据，后构造POC到本地，在cookie有效期内本地执行POC可直接修改会员信息 3、经验证漏洞为cookie的SameSite属性为none，未作任何设置造成的，后将IIS中及web.config文件中的SameSite属性设为lax后，修复了此漏洞。