当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132698

漏洞标题:海螺集团人力资源管理系统存在设计缺陷,泄露大量内部员工信息

相关厂商:海螺集团

漏洞作者: 二愣子

提交时间:2015-08-10 17:53

修复时间:2015-09-24 17:54

公开时间:2015-09-24 17:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

安徽海螺集团公司是全国120家大型试点企业集团之一。集团公司控股经营两家上市公司:安徽海螺水泥股份有限公司和芜湖海螺型材科技股份有限公司。中国海螺水泥股份有限公司(CONCH)简称“海螺水泥",由安徽海螺集团有限公司独家发起组建而成,属H股和A股上市公司。

详细说明:

后台两登陆处存在设计缺陷,可通过构造特殊用户名以及密码直接登陆后台。
海螺集团人力资源管理系统

http://hr.conch.cn/login.jsp


海螺集团人力资源管理系统自助平台

http://hr.conch.cn/portalLogin.jsp


用户名以及密码

1'or'1'='1
123456

漏洞证明:

自助平台登陆

1.png


管理系统登陆

2.png


泄露组织架构,员工信息,薪资信息,社保福利等等等等。。。。

3.png


泄露内管理架构,干部结构等等信息

4.png


举个例子,泄露3800多名内部员工个人信息

5.png


包括个人具体信息,电话,家庭住址,学习经历,工作简历,主要家庭成员以及社会关系、、、、
还有很多内部信息,厂商懂的。。。

修复方案:

过滤一下参数吧,无论是登陆点,还是登陆之后,很多地方都存在HQL注入
PS:
厂商太伤我的心了,本来都漫游了好几台内网服务器了,结果一下子被你们删除了。。。

版权声明:转载请注明来源 二愣子@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝