当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064116

漏洞标题:某厂商移动E站某业务系统弱口令

相关厂商:移动E站(非中国移动)

漏洞作者: 大大灰狼

提交时间:2014-06-20 09:36

修复时间:2014-09-18 09:38

公开时间:2014-09-18 09:38

漏洞类型:默认配置不当

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-20: 细节已通知厂商并且等待厂商处理中
2014-06-25: 厂商已经确认,细节仅向厂商公开
2014-06-28: 细节向第三方安全合作伙伴开放
2014-08-19: 细节向核心白帽子及相关领域专家公开
2014-08-29: 细节向普通白帽子公开
2014-09-08: 细节向实习白帽子公开
2014-09-18: 细节向公众公开

简要描述:

移动E站某业务系统弱密码,可登陆后台。京客隆等多家合作零售商受影响。

详细说明:

1 登陆E站零售业务系统http://www.10658235.com:8080/webpos/login.jsp
2 以京客隆西二旗店用户为例,登陆账号jkl113 密码 88888 ,可成功登陆该系统。

1.png


4 以京客隆太阳宫店用户为例,可修改当前用户密码。

2.png


5 遍历该账号获得更多用户,随便列举一下
红松园店 登陆账号jkl111 密码 88888
石佛营店 登陆账号jkl112 密码 88888
西二旗店 登陆账号jkl113 密码 88888
府前东街店 登陆账号jkl114 密码 88888
太阳宫店 登陆账号jkl115 密码 88888
里仁街店 登陆账号jkl116 密码 88888
中山街店 登陆账号jkl117 密码 88888
依次列举就可以了。

漏洞证明:

1 以京客隆西二旗店用户为例,登陆账号jkl113 密码 88888 ,可成功登陆该系统。

1.png


2 以京客隆太阳宫店用户为例,可修改当前用户密码。

2.png

修复方案:

提高安全意识

版权声明:转载请注明来源 大大灰狼@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-06-25 08:30

厂商回复:

CNVD确认所述情况,由CNVD尝试联系软件生产厂商,电话至**(对方拒绝提供邮箱),后将通报发送至网站邮箱an_jy 处置。

最新状态:

暂无