当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046726

漏洞标题:全峰快递OA系统弱口令可查询任意快递信息

相关厂商:全峰快递

漏洞作者: 547

提交时间:2013-12-23 15:16

修复时间:2014-02-06 15:17

公开时间:2014-02-06 15:17

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-02-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

全峰快递OA系统弱口令导致可查本网点任意快递记录

详细说明:

第一次发这个,有不足,请可以见谅,我是一个新手
http://qfoa.qfkd.com.cn/
通过bing查找到全峰快递OA系统使用说明。

QQ图片20131222134543.jpg


可以知道OA系统默认密码是123456 账号为网点编号,
可是,现在没有网点编号,怎么办?
google

QQ图片20131222134621.jpg


里面有所有网点编号。
然后进入OA系统

QQ图片20131222134036.jpg


剩下的功能就没有看了。
貌似里面还有全峰的人事调整。。

漏洞证明:

QQ图片20131222134036.jpg

修复方案:

修改密码

版权声明:转载请注明来源 547@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝