当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048889

漏洞标题:上汽通用汽车金融某网站敏感信息泄漏

相关厂商:gmacsaic.net

漏洞作者: sunding

提交时间:2014-01-16 10:08

修复时间:2014-01-21 10:09

公开时间:2014-01-21 10:09

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-16: 细节已通知厂商并且等待厂商处理中
2014-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上汽通用汽车金融某网站敏感信息泄漏

详细说明:

上汽通用汽车金融网上订单执行系统存在敏感信息泄漏
漏洞URL:http://order.gmacsaic.net/index.jsp
访问该链接,发现含有验证码功能,再次利用搜索引擎。可以发现用户名的规则和初始密码,用户名DL8987,密码GMAC2012,登陆后可看到用户信息和订单处理信息。经简单测试,发现DL5000和DL8000的密码均为GMAC2012

QQ截图20140114162606.png


QQ截图20140114162706.png


QQ截图20140114163208.png


QQ截图20140114163327.png


漏洞证明:

修复方案:

1、修改密码。
2、在简单测试用户名和密码时,如不存在该用户名提示“系统不存在该用户”,如密码不正确提示“密码不正确”,建议提示“用户名或密码不正确”。

版权声明:转载请注明来源 sunding@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-01-21 10:09

厂商回复:

最新状态:

暂无