漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0139516
漏洞标题:凤凰学易某漏洞导致大量内部信息泄漏(包括董事长在内的所有员工的姓名/职位/手机号/身份证号码/邮箱)
相关厂商:凤凰学易
漏洞作者: 路人甲
提交时间:2015-09-07 14:40
修复时间:2015-10-22 14:42
公开时间:2015-10-22 14:42
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
从创办至今,凤凰学易旗下学科网(www.zxxk.com)已成为全国最大的教育资源门户网站,是国内教育网络的先锋力量。并以学科网庞大数据库系统、1500多万注册会员为依托,先后开发出网校通、e卷通、校园信息平台、e网通、学易学堂、学易提分系统、教育云等诸多产品,为学校、老师和学生提供全方位立体化教育服务。其中针对学校管理的产品有:数字校园,学易云;针对教师教学的产品:学科网,组卷网,提供网校通及e卷通等服务;针对学生学习的有学易学堂、学易提分系统,还有更多的教育产品正在研发当中。
详细说明:
ox01、漏洞系统:OA办公系统
弱口令:
密码正确了,还需要机器码验证,需要手机验证码,但是抓返回包,返回了下发的正确的验证码
顺利登入,各种信息内部信息实在太多。
所有员工信息,包括董事长信息
所有员工的姓名、手机、身份证,职位等
销售信息
ox02、公司邮件系统:
弱口令
公司所有员工的邮箱地址
大量内部邮件信息
漏洞证明:
已证明
修复方案:
加强员工安全意识培训
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)