漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-016304
漏洞标题:湖北电信对外合作的各公司机构资质原件扫描和删除
相关厂商:湖北电信
漏洞作者: invader
提交时间:2012-12-21 10:55
修复时间:2013-02-04 10:56
公开时间:2013-02-04 10:56
漏洞类型:系统/服务运维配置不当
危害等级:中
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-21: 细节已通知厂商并且等待厂商处理中
2012-12-21: 厂商已经确认,细节仅向厂商公开
2012-12-31: 细节向核心白帽子及相关领域专家公开
2013-01-10: 细节向普通白帽子公开
2013-01-20: 细节向实习白帽子公开
2013-02-04: 细节向公众公开
简要描述:
营业执照,税务执照,银行开户许可证,专项许可证等等可供人随意下载和删除,一旦这些信息被人利用,各种信息诈骗案件估计会层出不穷,严重危害社会安全等等;
详细说明:
数据库读写权限不合理且无任何安全访问和访问控制;
document.location.href="http://www.hbspoa.com:80/file/zwzwdel-File.shtml?para.qualifications_id="+annex_code.value+"&para.company_code="+company_code.value;
文件访问权限设置不合理;
漏洞证明:
页面:http://www.hbspoa.com/file/zwselFile.shtml;jsessionid=497BA7B4D30C67C48362028A555A849E?para.company_code=¶.res=6
原始文档扫描件可随便下载:这里贴一个
修复方案:
此页面的访问权限应为至少为Editor级别,一般默认设置为管理员级,而并非public;新建静态页面,输出此页面的纯文本内容可作为公开内容。
版权声明:转载请注明来源 invader@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-12-21 16:29
厂商回复:
CNVD确认漏洞情况,已经转由CNCERT湖北分中心协调当地基础电信运营企业处置。
按部分影响机密性、完整性进行评分,基本危害评分6.82,发现技术难度系数1.1,涉及行业或单位影响系数1.4,综合rank=10.50
最新状态:
暂无