漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0109992
漏洞标题:广东省(国家)工伤康复中心漏洞导致全院医务人员信息泄露(包括院长私人联系方式和签名)
相关厂商:广东省(国家)工伤康复中心
漏洞作者: 路人甲
提交时间:2015-04-24 10:47
修复时间:2015-06-08 15:28
公开时间:2015-06-08 15:28
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-24: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
广东省工伤康复中心(广东省工伤康复医院、广东省劳动能力鉴定中心)成立于2001年,隶属于广东省人力资源和社会保障厅,2009年被人力资源和社会保障部确定为“全国工伤
康复综合基地”,是人力资源社会保障部与广东省政府“部
省共建”的国家级工伤康复基地,基地建设目标为:建设成
为国家医疗康复和职业康复基地、康复人才培养基地、康复
科研基地以及工伤康复国际交流合作基地。广州新院已于
2011年11月18日落成开业。
详细说明:
先是正好看到这个网站右边有一个OA
http://www.gzrehab.com.cn/
然后弱口令尝试登陆
http://202.105.84.100:9090/defaultroot/login.jsp
admin 111111
登陆了
使用率蛮高
哪么晚了在线人数还那么多
文件就不看了 就信息泄露看看吧
通讯录 下载一个来看看
先看看领导班子
所以院长的私人号码也在里面么
这里也有所有的通讯录 600多医护人员
竟然还有院长签名
在内页可以看到一个微博 微博显示是国家工伤康复基地
漏洞证明:
先是正好看到这个网站右边有一个OA
http://www.gzrehab.com.cn/
然后弱口令尝试登陆
http://202.105.84.100:9090/defaultroot/login.jsp
admin 111111
登陆了
使用率蛮高
哪么晚了在线人数还那么多
文件就不看了 就信息泄露看看吧
通讯录 下载一个来看看
先看看领导班子
所以院长的私人号码也在里面么
这里也有所有的通讯录 600多医护人员
竟然还有院长签名
在内页可以看到一个微博 微博显示是国家工伤康复基地
修复方案:
修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-04-24 15:26
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。
最新状态:
暂无