当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109992

漏洞标题:广东省(国家)工伤康复中心漏洞导致全院医务人员信息泄露(包括院长私人联系方式和签名)

相关厂商:广东省(国家)工伤康复中心

漏洞作者: 路人甲

提交时间:2015-04-24 10:47

修复时间:2015-06-08 15:28

公开时间:2015-06-08 15:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-24: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

广东省工伤康复中心(广东省工伤康复医院、广东省劳动能力鉴定中心)成立于2001年,隶属于广东省人力资源和社会保障厅,2009年被人力资源和社会保障部确定为“全国工伤
康复综合基地”,是人力资源社会保障部与广东省政府“部
省共建”的国家级工伤康复基地,基地建设目标为:建设成
为国家医疗康复和职业康复基地、康复人才培养基地、康复
科研基地以及工伤康复国际交流合作基地。广州新院已于
2011年11月18日落成开业。

详细说明:

先是正好看到这个网站右边有一个OA
http://www.gzrehab.com.cn/

QQ截图20150423204248.png


然后弱口令尝试登陆
http://202.105.84.100:9090/defaultroot/login.jsp
admin 111111

QQ截图20150423204300.png


登陆了
使用率蛮高
哪么晚了在线人数还那么多

QQ截图20150423204325.png


文件就不看了 就信息泄露看看吧
通讯录 下载一个来看看

QQ截图20150423204358.png


先看看领导班子

QQ截图20150423205308.png


所以院长的私人号码也在里面么

QQ截图20150423204521.png


这里也有所有的通讯录 600多医护人员

QQ截图20150423204617.png


竟然还有院长签名

QQ截图20150423204713.png


在内页可以看到一个微博 微博显示是国家工伤康复基地

QQ截图20150423205533.png

漏洞证明:

先是正好看到这个网站右边有一个OA
http://www.gzrehab.com.cn/

QQ截图20150423204248.png


然后弱口令尝试登陆
http://202.105.84.100:9090/defaultroot/login.jsp
admin 111111

QQ截图20150423204300.png


登陆了
使用率蛮高
哪么晚了在线人数还那么多

QQ截图20150423204325.png


文件就不看了 就信息泄露看看吧
通讯录 下载一个来看看

QQ截图20150423204358.png


先看看领导班子

QQ截图20150423205308.png


所以院长的私人号码也在里面么

QQ截图20150423204521.png


这里也有所有的通讯录 600多医护人员

QQ截图20150423204617.png


竟然还有院长签名

QQ截图20150423204713.png


在内页可以看到一个微博 微博显示是国家工伤康复基地

QQ截图20150423205533.png

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-04-24 15:26

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无