漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0140391
漏洞标题:美的某社区平台存在大量弱口令
相关厂商:midea.com.cn
漏洞作者: 指尖上的故事
提交时间:2015-09-11 10:32
修复时间:2015-10-26 11:02
公开时间:2015-10-26 11:02
漏洞类型:基础设施弱口令
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开
简要描述:
美的....这个占有我家70%电器的品牌..
详细说明:
http://sns.midea.com 美的人自己的社区(真心漂亮的登录页面)
http://idea.midea.com 创新平台(属于wap网页)
大概对midea.com旗下网站测试发现了一个很有规律的事...很多管理默认用户和密码是:(admin 000000)管理员可去问一下你们的网维
而已很多工作人员的默认密码居然是:(0)
首先说说这个社区..登录界面好美..貌似用户活跃率不高.随便爆破了一下发现密码全是0 登录一个用户后,来到找人这个功能模块下.随便找一个用户,把用户名转成拼音密码0 又能登录...(管理自行验证一下去吧)
漏洞证明:
截图:(我是随意抽取的用户登录..管理员可按下图用户和密码验证一下)
成功截图:
截图如下:
修复方案:
版权声明:转载请注明来源 指尖上的故事@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-09-11 11:01
厂商回复:
感谢热心的白帽子 指尖上的故事@乌云 的监督!我们赶紧打管理员的屁股去。
最新状态:
暂无