当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129597

漏洞标题:汇文OPAC敏感信息泄露

相关厂商:libsys.com.cn

漏洞作者: 路人甲

提交时间:2015-07-28 11:37

修复时间:2015-09-14 08:36

公开时间:2015-09-14 08:36

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-28: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-08-10: 细节向核心白帽子及相关领域专家公开
2015-08-20: 细节向普通白帽子公开
2015-08-30: 细节向实习白帽子公开
2015-09-14: 细节向公众公开

简要描述:

测试了几个发现都有这个问题

详细说明:

汇文OPAC用户极广,尤其是学校
而学校这一块又是电信诈骗的重灾区
opac/search.php

QQ截图20150726200955.png


最近发现不少opac的include目录下出现了config.properties这个文件

QQ截图20150727085153.png


这是武汉某高校
连接的账号密码仅用base64编码
在网页里可以直接访问到
里面存贮了oracle数据库的连接信息,有不少数据库直接在公网可以外连,危害极大
多列举几个

QQ截图20150727085423.png

金陵图书馆

QQ截图20150727085741.png

北航图书馆

QQ截图20150727090007.png

吉林大学珠海学院
好多都是在外网的
可以直接连接

漏洞证明:

连接个试试

QQ图片20150727090430.jpg


海量学生信息
不来点wb社区都进不去了。。。

修复方案:

安全策略

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-31 08:35

厂商回复:

已于2015-07-10接获同类报告。并处理中。感谢。

最新状态:

暂无