漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-031723
漏洞标题:云南省教育厅下属-基础教育资源网登录管理页面用户名密码泄露漏洞
相关厂商:云南基础教育资源网
漏洞作者: Matejos
提交时间:2013-07-22 18:03
修复时间:2013-09-05 18:04
公开时间:2013-09-05 18:04
漏洞类型:后台弱口令
危害等级:中
自评Rank:6
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-22: 细节已通知厂商并且等待厂商处理中
2013-07-26: 厂商已经确认,细节仅向厂商公开
2013-08-05: 细节向核心白帽子及相关领域专家公开
2013-08-15: 细节向普通白帽子公开
2013-08-25: 细节向实习白帽子公开
2013-09-05: 细节向公众公开
简要描述:
偶然pentest路过,网站属于云南省电化教育馆(教育厅下属单位)管理,其某一登录管理页面内用户名密码泄露,可直接登录进入后台管理。漏洞确实存在,网站管理关系属实,望能审核通过,通知相关单位进行整改。
详细说明:
1、漏洞页面:http://222.221.6.231/ders_resource/manager/login.jsp
2、泄露用户名密码:admin/loveders
3、教育部基础教育资源中心:2004年,经中央编制委员会办公室批准,教育部基础教育资源中心正式成立,与中央电化教育馆合署办公。
4、基础教育资源网:其主要职责:开发多种媒体教材,开展多种媒体教材的研究、交流和服务工作;开发教育教学资源,建设教育教学信息资源;承担国家中小学现代远程教育工程项目的人员培训,资源的整合、集成、发送,科研支撑与应用指导,技术支持与服务等工作;组织开展学校教育技术、信息技术教育理论与应用的研究与实验,开发、转化和推广相关的研究成果;开展各种教育技术的培训工作。
漏洞证明:
存在漏洞页面:
泄露用户名密码:
进入管理后台页面:
修复方案:
删除相关页面。
版权声明:转载请注明来源 Matejos@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2013-07-26 23:19
厂商回复:
最新状态:
暂无