漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0126701
漏洞标题: 浙江省粮油食品进出口旗下电商存在设计逻辑缺陷影响任意用户
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2015-07-16 19:37
修复时间:2015-09-06 00:00
公开时间:2015-09-06 00:00
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-16: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开
简要描述:
保税超市(www.cnbuyers.cn)是由浙江省粮油食品进出口股份有限公司运营的跨境进口B2C平台,国家跨境贸易电子商务试点项目,主要销售国家跨境电子商务试点企业的保税进口商品。
浙江省粮油食品进出口股份有限公司(www.zjcof.com.cn),是一家具有60年历史的省级专业进出口贸易公司。公司与90多个国家和地区建立了贸易关系,进出口规模在全国粮油食品进出口行业名列前茅,在省内专业外贸公司中占有重要地位。
浙江省粮油食品进出口股份有限公司是一家以食品和农副产品生产加工、国内外销售及各类商品进出口为主营业务的复合型外贸企业,农业产业化国家重点龙头企业,隶属浙江省国际贸易集团有限公司。
公司以贸易为依托,以实业为支撑,是浙江省最早的外贸公司之一,已有60年经营历史。业务涉及进出口贸易、国内贸易、实业投资等多个领域,与世界90多个国家和地区建立了贸易关系。公司生产或经营粮油食品、饲料、油脂、肉食制品、纺织服装、钢铁、煤炭、轻工工艺、五金机电、化工医保等产品。
详细说明:
在找回密码处存在设计缺陷,在用我们自己的手机号找回密码的最后提交步骤时,将我们的手机号更改为目标手机号即可。
漏洞证明:
用新密码登陆,登陆成功:
危害这么大,给个20rank可好?
修复方案:
加强服务器端校验逻辑
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-07-20 14:01
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。
最新状态:
暂无