当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195658

漏洞标题:七易云计算网络教育平台漏洞(设计几十个站库/大量用户信息

相关厂商:七易云计算网络教育平台

漏洞作者: 路人甲

提交时间:2016-04-13 12:00

修复时间:2016-05-28 12:10

公开时间:2016-05-28 12:10

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

七易时代科技(北京)有限公司是由留美博士、硕士共同创建的高科技公司。我们的使命是利用我们的技术优势为各种教育机构、政府机关、企业和大学提供各种云计算网络教育方案。我们的角色就是“知识的传播者”。
多年来,我们一直探索国内网络教育技术的发展。 曾先后推出 “板书 + 语音” 的第一代基于互联网的网络教育系统、三窗口(视频、板书和目录)和四窗口(视频、目录、板书和知识点)的第二代网络教育系统、基于 P2P 的第三代网络教育系统;2007年,创造性的将云计算技术引入网络教育;2010年,学习社区概念在网络教育领域推广开来。
我们的客户累计超过 600 余家,学员数量超过千万,遍布世界各地。我们的技术原则就是“专注”。展望未来,我们将继续努力,采用更加先进的技术和最适合您的方案,助您展翅翱翔。

详细说明:

http://wenduwx.7east.cn/xmlaction!ReduceCnt.do

1.png


内网

11.png


该平台下的大量站裤

3.png


这些网站,有大部分网站都存在收费视频、或者收费业务

1_2.png


1_3.png


333.png


某一网站数据

5.png


漏洞证明:

测试所用的一句话木马被删,你们应该已经察觉了,还有大量网站,我就不一一登录了
涉及的业务较大,点到为止
裤子未脱
少部分数据已删
家里没有水表

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)