当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114857

漏洞标题:某省住房和城乡建设厅网站文档泄露某试点管理信息系统默认用户名密码

相关厂商:某省住房和城乡建设厅

漏洞作者: Big Eric

提交时间:2015-05-19 12:33

修复时间:2015-07-07 15:38

公开时间:2015-07-07 15:38

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:6

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-19: 细节已通知厂商并且等待厂商处理中
2015-05-23: 厂商已经确认,细节仅向厂商公开
2015-06-02: 细节向核心白帽子及相关领域专家公开
2015-06-12: 细节向普通白帽子公开
2015-06-22: 细节向实习白帽子公开
2015-07-07: 细节向公众公开

简要描述:

通过搜索可以找到某政府网站留下的默认密码文档,然后通过此文档可以进行另一个试点管理信息系统的登录操作。在尝试的过程中发现有一个市并没有修改默认密码。

详细说明:

1. 通过搜索可以找到在湖北省住房和城乡建设厅网站中,泄露信息的文档:http://www.hbzfhcxjst.gov.cn/UpFiles/Attach/2013/12/19/1708066163.pdf
2. 通过此文档尝试登录国家智慧城市试点管理信息系统:http://www.smart-city.org.cn/
3. 经过尝试发现,襄阳市未修改默认密码,可以顺利登录。

漏洞证明:

1.网站泄露密码文档:

01_泄露密码文档.png


2.使用襄阳市用户名密码登录:

02_襄阳用户名密码.png


3.成功登陆,发现很多资料未填写,密码未修改,估计尚未使用

03_初次登录界面.png


4.这里可以看到一些企业的敏感信息,注册资金,法人,企业人数等。

04_企业敏感信息.png


5.点击详细进入,还可以查到法人联系电话,传真等资料:

05_企业详细信息.png

修复方案:

建议湖北省住房和城乡建设厅网站加强访问限制,襄阳市试点系统管理员修改默认密码。

版权声明:转载请注明来源 Big Eric@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-05-23 15:37

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给湖北分中心,由其后续协调网站管理单位处置。

最新状态:

暂无