漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0126713
漏洞标题:p2p金融安全之优财树任意账号登陆(可影响大量资金安全)
相关厂商:华龄老年产业控股集团有限公司
漏洞作者: 路人甲
提交时间:2015-07-17 12:49
修复时间:2015-08-31 12:50
公开时间:2015-08-31 12:50
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-31: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
华龄老年产业控股集团有限公司简介
华龄老年产业控股集团有限公司(简称:华龄集团)是专门从事老年产业的研究、投资、开发与运营的综合性混业经营企业集团。集团包括十余个子公司,4个中心机构,3个研究单位。主要业务涉及金融投资、老年地产、总部经济、产业园区、家居智能、信息科技、健康医疗、旅游休闲、农业生态、商业物流、物业管理、国际交流、文化传媒、培训认证、理论研究等领域。“华龄投资”是控股集团的二级集团业务公司,通过全资、控股、参股、合作开发、咨询指导多个经典案例,总结、积累、创新各种业态的开发模式和运营模式。目前土地储备已经达到2万多亩地,建筑面积1300万平方米。
优财树简介
优财树是华龄集团下属互联网金融公司(北京优财树投资管理有限公司)旗下的独立品牌。优财树作为一家集专业团队和民营资本为一体的专业网贷理财信息服务平台,以为从事养老产业的企业或个人提供金融服务为主,其次为有资金需求的微小企业和个人输送最快捷有力的资金血液,同时,也为广大的普通青年以及中老年人提供安全、稳健、高收益、低门槛的理财产品,帮助其实现财富增值、财务自由的梦想。
详细说明:
在找回密码处存在逻辑设计缺陷,在下发验证码时,将目标手机号更改为我们的手机号即可重置目标手机号。
漏洞证明:
用我们的新密码登陆,登陆成功:
危害这么在,来个20rank可好?
修复方案:
加强服务器绑定性校验
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:暂时无回应
漏洞Rank:0
确认时间:2015-07-17 12:49
厂商回复:
最新状态:
暂无