漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-054517
漏洞标题:中科院某数据期刊上传系统弱口令后台登录
相关厂商:中科院
漏洞作者: 奥迪牌拖拉机
提交时间:2014-03-27 18:47
修复时间:2014-05-11 18:47
公开时间:2014-05-11 18:47
漏洞类型:后台弱口令
危害等级:中
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-27: 细节已通知厂商并且等待厂商处理中
2014-04-01: 厂商已经确认,细节仅向厂商公开
2014-04-11: 细节向核心白帽子及相关领域专家公开
2014-04-21: 细节向普通白帽子公开
2014-05-01: 细节向实习白帽子公开
2014-05-11: 细节向公众公开
简要描述:
中科院某数据期刊上传系统弱口令后台登录
详细说明:
看到N多人研究中科院,随便试着玩吧,找着找着就找到一个,
http://159.226.100.147/upload_files/index.asp
弱口令双admin,顺利进入。
如下图1所示:
这个貌似对太大影响力或者没有很多经济损失的可能,但如果对学术较弱还想发点文章的就不好说了,所以还是有点影响的,如图2所示
传个asp的文件吧,看看会不会被过滤?
没有过滤,不过也连接不了,因为只能提供下载。 那如果我上传个带木马的doc文件上去,然后岂不是有些来下载的人要中毒了?虽然人说不会很多,但这毕竟是个漏洞,所以还是修复了吧。 备注:本人纯菜,虚心学习中。。。谢谢各位不吝赐教
漏洞证明:
修复方案:
加强口令强度
版权声明:转载请注明来源 奥迪牌拖拉机@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-04-01 09:53
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国科学院计算机网络管理中心,由其后续协调网站主办院所处置。
最新状态:
暂无