漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0111895
漏洞标题:中国旅行社总社官网和论坛任意用户包括管理员密码重置
相关厂商:www.ctsho.com
漏洞作者: 路人甲
提交时间:2015-05-04 10:48
修复时间:2015-05-09 10:50
公开时间:2015-05-09 10:50
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-04: 细节已通知厂商并且等待厂商处理中
2015-05-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看1974年...
1949年11月,厦门华侨服务社成立。其后,重点侨乡广东省、福建省和许多中心城市相继成立华侨服务社,并于1957年统一更名为“华侨旅行服务社”。
1957年4 月,“华侨旅行服务社总社”在北京成立,统筹全国各地华侨旅行服务社的工作,初步形成全国性网络。
1974年,周恩来总理提议,保留“华侨旅行服务社总社”,同时加用“中国旅行社总社”名称。
1990年7 月,中国中旅(集团)公司和中国中旅集团在北京成立,与中国旅行社总社合署办公。
1994年5月,中国中旅(集团)公司与中国旅行社总社分署办公。10月,“CTS中旅”商标经国家工商行政管理总局商标局核准注册。12月,中国中旅的标志性建筑——中旅大厦在北京落成,中国中旅集团举行隆重的落成典礼并召开了中国旅行社成立45周年庆祝大会。
1999年1月,中共中央办公厅、国务院办公厅颁布《中央党政机关非金融企业脱钩的总体处理意见和具体实施方案》,将中国中旅(集团)公司列为首批交由中央管理的企业。[1]
2000年6 月,中国旅行社总社第一家控股单位广东拱北口岸中国旅行社有限公司成立,至今在全国已控股数十家中旅社。
2003年12月,中国旅行社总社与全球三大旅游企业集团之一的德国TUI集团合资成立中国第一家外资控股旅行社—中旅途易旅游有限公司,德国总理施罗德出席了剪彩仪式。
2009年8月,中国旅行社总社有限公司凭借较大的影响力、较强的创新力和较好的成长力入选“CCTV60年60品牌”,成为旅游行业唯一入围品牌。
详细说明:
官网和论坛同库 ,对不起管理员了,我已经重置他2次密码了,,,,
无论是邮箱还是手机号找回密码 ,都会发送一个验证码,而此时可以修改返回值直接绕过,(长度4 返回值true)进去后可以看手机号码 姓名 身份证等敏感信息
漏洞证明:
修复方案:
据说是新中国最早的旅游网站
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-09 10:50
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无