当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139516

漏洞标题:凤凰学易某漏洞导致大量内部信息泄漏(包括董事长在内的所有员工的姓名/职位/手机号/身份证号码/邮箱)

相关厂商:凤凰学易

漏洞作者: 路人甲

提交时间:2015-09-07 14:40

修复时间:2015-10-22 14:42

公开时间:2015-10-22 14:42

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

从创办至今,凤凰学易旗下学科网(www.zxxk.com)已成为全国最大的教育资源门户网站,是国内教育网络的先锋力量。并以学科网庞大数据库系统、1500多万注册会员为依托,先后开发出网校通、e卷通、校园信息平台、e网通、学易学堂、学易提分系统、教育云等诸多产品,为学校、老师和学生提供全方位立体化教育服务。其中针对学校管理的产品有:数字校园,学易云;针对教师教学的产品:学科网,组卷网,提供网校通及e卷通等服务;针对学生学习的有学易学堂、学易提分系统,还有更多的教育产品正在研发当中。

详细说明:

ox01、漏洞系统:OA办公系统

http://oa.zxxk.com/


弱口令:

wanghui|123456


密码正确了,还需要机器码验证,需要手机验证码,但是抓返回包,返回了下发的正确的验证码

001.png


顺利登入,各种信息内部信息实在太多。

00.png


所有员工信息,包括董事长信息

0.png


所有员工的姓名、手机、身份证,职位等

1.png


销售信息

2png.png


ox02、公司邮件系统:

http://mail.xkw.cn/


弱口令

[email protected]|123456


公司所有员工的邮箱地址

3.png


大量内部邮件信息

4.png

漏洞证明:

已证明

修复方案:

加强员工安全意识培训

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)