漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0155623
漏洞标题:浙江省国际贸易集团有限公司越权访问系统日志+弱口令+性能监控后台登录+审计帐号弱口令导致session、协同办公、全公司通讯录泄露
相关厂商:浙江省国际贸易集团有限公司
漏洞作者: 路人甲
提交时间:2015-11-25 17:04
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开
简要描述:
浙江省国际贸易集团有限公司(以下简称省国贸集团)成立于2008年,是省政府投资设立的国有独资公司。省国贸集团在浙江省人民政府国有资产监督管理委员会的监管下,履行国有资产出资者职能,承担国有资产保值增值的责任。
省国贸集团注册资本金为9.8亿元,来源为原荣大、中大、东方三家集团现有资本金。公司法定住所为浙江省杭州市庆春路199号。经营范围为授权范围内国有资产的经营管理,涉及商贸流通、金融服务、产业投资、经济合作等领域。集团与世界上213个国家和地区的知名客商建立了广泛和稳定的贸易合作关系,经营的出口商品多达210个大类品种,主要为轻工业品、医化产品、农副产品、机电产品等。
集团拥有二级控股子公司22家,有国有资产覆盖的各级公司180家。控股子公司中一家为上市公司浙江东方集团股份有限公司(证券代码:600120)。在省内比较有影响的子公司主要有浙江省土产畜产进出口集团有限公司、浙江省医药保健品进出口有限公司、浙江省粮油进出口股份有限公司、浙江省纺织品进出口集团有限公司、浙江省化工进出口有限公司、浙江省五金矿产进出口有限公司、浙江中大技术集团有限公司、大地期货有限公司、浙商金汇信托股份有限公司、中韩人寿保险有限公司等。这些公司在全国行业排名中均名列前茅。2014年底,公司在岗职工13168人。
2014年,集团在克服国内外诸多不利因素取得稳定健康发展。2014年集团实现销售收入571.47亿元,实现利润总额19.10亿元。按照母子公司合并口径,2014年集团实现进出口总额55.83亿美元,其中出口44.60亿美元,进口11.22亿美元。按中国企业家联合会2015年发布的500强排名口径,集团位居第222名。按中国对外贸易统计学会2015年发布的中国对外贸易500强排名口径,集团位居第46位,位居上榜浙江企业第1位。
详细说明:
#1越权访问系统日志session泄露
**.**.**.**:8000/seeyon//logs/login.log
#2弱口令协同办公、全公司通讯录
**.**.**.**:8000/seeyon/
27000017 123456
#3性能监控后台
management/status.jsp
WLCCYBD@SEEYON
#4审计帐号
audit-admin 123456
漏洞证明:
#1越权访问系统日志session泄露
**.**.**.**:8000/seeyon//logs/login.log
#2弱口令协同办公、全公司通讯录
**.**.**.**:8000/seeyon/
27000017 123456
#3性能监控后台
management/status.jsp
WLCCYBD@SEEYON
#4审计帐号
audit-admin 123456
修复方案:
修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-11-27 14:14
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给浙江分中心,由浙江分中心后续协调网站管理单位处置。
最新状态:
暂无