当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130139

漏洞标题:特步漏洞礼包(可管理官网)

相关厂商:特步

漏洞作者: 路人甲

提交时间:2015-07-29 13:39

修复时间:2015-09-12 13:40

公开时间:2015-09-12 13:40

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人员安全意识薄弱

详细说明:

OX1
特步儿童:http://www.xtepkids.com.cn/admin.php
账号admin
密码admin

QQ图片20150729095919.jpg


发现还有一名管理员账号为zzy

QQ图片20150729101928.jpg


OX2
特步官网
http://www.xtep.com/admin.php
账号zzy
密码admin

QQ图片20150729102754.jpg


可以去管理首页的大图

QQ图片20150729102852.png


如果替换了这张,首页就不这样了哈哈

QQ图片20150729103106.jpg


权限很高,可以删除管理

QQ图片20150729102951.jpg


放个小视频是不是就会火,毕竟官网
OX3
特步子品牌xtop
http://www.xtop.cc/admin.php
账号 admin 密码admin
账号 zzy 密码 admin

QQ图片20150729104003.png


QQ图片20150729103940.png


漏洞证明:

大概就是就这几个管理员管理这几个网站
安全意识薄弱
访问量很高的。这套CMS shell方法也很多

QQ图片20150729102754.jpg

修复方案:

#限制入口
#复杂密码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝