漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0122684
漏洞标题:万达集团某重要系统管理员任意登录
相关厂商:大连万达集团股份有限公司
漏洞作者: 爱上襄阳
提交时间:2015-06-25 14:29
修复时间:2015-08-09 14:38
公开时间:2015-08-09 14:38
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认,细节仅向厂商公开
2015-07-05: 细节向核心白帽子及相关领域专家公开
2015-07-15: 细节向普通白帽子公开
2015-07-25: 细节向实习白帽子公开
2015-08-09: 细节向公众公开
简要描述:
万达集团某重要系统 管理员任意登录
详细说明:
万达集团网络OA办公系统 http://oa.chinawanda.com:1010/login.php
通过某账号弱口令进入到OA系统里发现该OA用的是天生创想T2012 SP1.1.05.18版本
这个OA在乌云里面提交过多次漏洞,而且还拒绝修补,奇葩,直接利用其设计缺陷漏洞,管理员随意登录:
http://oa.chinawanda.com:1010/index.php
cookies:toa_auth=MQkzMzMzMzM=
漏洞证明:
修复方案:
升级版本,但是话说新版本貌似漏洞也很多
版权声明:转载请注明来源 爱上襄阳@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-06-25 14:38
厂商回复:
感谢爱上襄阳同学的关注与贡献!那什么,此万达非我万达,此乃位于山东的中国万达集团: 中国万达集团是科技部命名的国家重点高新技术企业,多年来秉承“汇聚科技精华、缔造百年万达”的企业愿景,现已发展成为拥有总资产500多亿元、占地560多万平方米、员工多名,涵盖轮胎、电缆、化工、地产开发、码头物流、金融贸易等产业,拥有国家级企业技术中心、国家级博士后科研工作站和两个国家级实验室的国家大型企业集团。企业进入中国企业500强、中国制造业企业500强、中国民营企业500强、山东省企业百强,并荣获全国五一劳动奖状、全国重合同守信用企业、中国质量诚信企业、国家标准化良好行为AAAA级企业、改革开放三十年山东省优秀企业、山东省省长质量奖(提名奖)、东营市市长质量奖等荣誉称号。同时,万达橡胶轮胎工业园被列入国家战略和东营市“十二五”规划。产品远销全球162个国家和地区。
最新状态:
暂无