当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081030

漏洞标题:四川省某市政府信息公开系统漏洞导致敏感内容泄露(影响几十个部门)

相关厂商:cncert国家互联网应急中心

漏洞作者: 黑暗游侠

提交时间:2014-10-28 12:02

修复时间:2014-12-12 12:04

公开时间:2014-12-12 12:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-28: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-12: 细节向公众公开

简要描述:

四川省全省信息危机 # 紧急告急

详细说明:

四川省某市信息危机 # 紧急告急
泄露部门:

市教育局 
市科技局 
市公安局 
市监察局 
市民政局 
市司法局 
市财政局 
市人力资源和社会保障局 
市国土资源局 
市城乡规划建设和住房保障局 
市交通运输局 
市水务局 
市农牧业局 
市林业局 
市商务局 
市文广影视新闻出版局 
市卫生局 
市人口计生委 
市审计局 
市环保局 
市体育局 
市统计局 
市外事侨务和旅游局 
市城乡管理执法局 
市安监局 
市粮食局 
市国资委 
市投资促进局 
市人防办 
市食品药品监管局 
市接待办 
市畜牧局 
市房管局 
高新区管委会 
市政务服务中心 
市档案局 
市防震减灾局 
市灯贸委 
市供销社 
市社保局  
市就业局 
市医保局 
市市场中心 
市群工局 
自贡质监局  
市工商局 
市气象局 
市国税局 
市地税局 
自贡调查队 
自贡银监分局 
人行市中心支行 
海关自贡办事处 
市农办 
自流井区政府 
贡井区政府 
大安区政府 
沿滩区政府 
荣县政府

漏洞证明:

http://218.88.199.46/userlogin.aspx


这是四川省自贡市的信息平台
每个部门下面都有个 叫做admin的登录名 密码全部为12345登录
进去后会强制修改密码

36.png


改了密码后 进去可以改掉其他用户名的密码

34.png


35.png


市发改委 市经信委 因为测试 改成了asdasdasd1!
/**
另外,四川省整个系统其他市也肯定存在,不止自贡市,今天时间太晚了,看我明天如果研究的对的话就提交一个通用了~~~嘻嘻小赚点money靠自己努力
**/

修复方案:

市教育局
市科技局
市公安局
市监察局
市民政局
市司法局
市财政局
市人力资源和社会保障局
市国土资源局
市城乡规划建设和住房保障局
市交通运输局
市水务局
市农牧业局
市林业局
市商务局
市文广影视新闻出版局
市卫生局
市人口计生委
市审计局
市环保局
市体育局
市统计局
市外事侨务和旅游局
市城乡管理执法局
市安监局
市粮食局
市国资委
市投资促进局
市人防办
市食品药品监管局
市接待办
市畜牧局
市房管局
高新区管委会
市政务服务中心
市档案局
市防震减灾局
市灯贸委
市供销社
市社保局
市就业局
市医保局
市市场中心
市群工局
自贡质监局
市工商局
市气象局
市国税局
市地税局
自贡调查队
自贡银监分局
人行市中心支行
海关自贡办事处
市农办
自流井区政府
贡井区政府
大安区政府
沿滩区政府
荣县政府

版权声明:转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-11-02 08:44

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给四川分中心,由其后续协调网站管理单位处置。

最新状态:

暂无