当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03690

漏洞标题:中国南方航空网上准备系统 存在重要信息泄漏

相关厂商:中国南方航空

漏洞作者: xiao.k

提交时间:2011-12-21 12:00

修复时间:2012-02-04 12:01

公开时间:2012-02-04 12:01

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-21: 细节已通知厂商并且等待厂商处理中
2011-12-24: 厂商已经确认,细节仅向厂商公开
2012-01-03: 细节向核心白帽子及相关领域专家公开
2012-01-13: 细节向普通白帽子公开
2012-01-23: 细节向实习白帽子公开
2012-02-04: 细节向公众公开

简要描述:

因管理不得当导致数据库被下载.得到内部人员信息 因测试页面为删除,可以得到服务器的部分信息

详细说明:

http://eb.csair.com/test.jsp
http://eb.csair.com/data.mdb

漏洞证明:

http://eb.csair.com/test.jsp
C:\bea\JROCKI~1\bin;.;C:\WINNT\system32;C:\WINNT;C:\bea\WEBLOG~1\server\bin;C:\bea\JROCKI~1\jre\bin;C:\bea\JROCKI~1\bin;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\CA_APPSW;C:\NSM\bin;C:\NSM\services\bin;C:\NSM\agents\bin;C:\NSM\services\tools;C:\NSM\help;C:\bea\jdk142_08\bin;C:\bea\WEBLOG~1\server\bin\oci920_8
http://eb.csair.com/data.mdb
ID : 509
user_id : 710283.0
names : 孙金芝
ID : 510
user_id : 710289.0
names : 邢金金
ID : 511
user_id : 710292.0
names : 杨玲
ID : 512
user_id : 710293.0
names : 易芳
等等...以上只是列举了一小部分

修复方案:

删除不必要的测试文件

版权声明:转载请注明来源 xiao.k@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2011-12-24 14:19

厂商回复:

CNVD确认漏洞情况,将转入CNCERT处置流程。对于事件的影响情况还有待进一步评估。
感谢xiao.K

最新状态:

暂无