当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131020

漏洞标题:彩讯科技员工安全意识不足导致可登陆邮箱/OA系统/项目管理系统/全公司通讯录

相关厂商:richinfo.cn

漏洞作者: 几何黑店

提交时间:2015-08-03 15:08

修复时间:2015-11-01 16:54

公开时间:2015-11-01 16:54

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-03: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-06: 细节向第三方安全合作伙伴开放
2015-09-27: 细节向核心白帽子及相关领域专家公开
2015-10-07: 细节向普通白帽子公开
2015-10-17: 细节向实习白帽子公开
2015-11-01: 细节向公众公开

简要描述:

中国移动合作厂商

详细说明:

用搜索引擎搜到彩讯科技的OA系统
那我们就用top500姓名拼音来试试有没有弱口令
跑了5分钟

hewei1	        123456
hexiaohong	123456
huangxiaodan	123456
hurui	        123456
jiangqiong	123456
lilei	        123456
linyan1	        123456
liuhuimin	123456
liujian	        123456
liuyan	        123456
liyuan	        123456
wangchao	123456
wangqian	        123456
chenlei             123456
chenjie             123456
zhuyibo            123456
dangxiumei      123456


QQ图片20150802050503.png


QQ图片20150802040013.png


漏洞证明:

QQ图片20150802040226.png


QQ图片20150802043324.png


QQ图片20150802043452.jpg


QQ图片20150802044722.png


QQ图片20150802045006.jpg


QQ图片20150802045308.jpg


QQ图片20150802045514.jpg


QQ图片20150802045715.png


就不一一截图了,基本上所有的系统都是可以进的.
这还只是跑了5分钟TOP500,如果要是拿全公司的通讯录去匹配的话,估计还会有更多.

修复方案:

朱一波同学的PPM系统账户为了测试,所以修改了下密码 Passw0rd123

版权声明:转载请注明来源 几何黑店@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-08-03 16:52

厂商回复:

感谢提醒,已按排修复处理。

最新状态:

暂无