当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131139

漏洞标题:艺龙旅行网某重要员工账号一枚(各种内部隐私/用户隐私)

相关厂商:艺龙旅行网

漏洞作者: DloveJ

提交时间:2015-08-02 21:17

修复时间:2015-09-20 16:10

公开时间:2015-09-20 16:10

漏洞类型:后台弱口令

危害等级:高

自评Rank:14

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-02: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-16: 细节向核心白帽子及相关领域专家公开
2015-08-26: 细节向普通白帽子公开
2015-09-05: 细节向实习白帽子公开
2015-09-20: 细节向公众公开

简要描述:

内部

详细说明:

为什么重要呢?截图

1.png


2.png


mask 区域
*****elong*****


3.png

4.png


5.png


因为是官方邮箱,所以用户就把密码也发给了你

6.png


内部文件夹中各种订单咨询问题
另一个文件夹中也有一些关于求职者和离职着

7.png

漏洞证明:

call center 售后 酒店点评相关事宜(删除点评的场景,请提供客人同意删除的短信截图) [email protected]
核实员工处理是否规范、酒店业务流程咨询 [email protected]
投诉问题的处理、追款问题 [email protected]
确认 某一订单问题咨询 [email protected]
确认流程问题 [email protected]
结算 现付结算问题 [email protected]
预付/团购结算问题 [email protected]
审核 酒店订单审核问题 [email protected]
房控 酒店库存问题(受理疑问咨询,不受理房态调整) [email protected]
网站/app相关 内容 网站内容产品 [email protected]
酒店图片 [email protected]
点评审核 [email protected]
搜索 搜索/页面排序问题 [email protected];[email protected]
无线 移动手机端问题 [email protected]
移动手机端问题升级 [email protected]
工具类 mis mis酒店维护问题 [email protected]
Hotel Master问题 [email protected]
Hotel Master升级人 [email protected]
直连系统相关问题 [email protected]
ebooking eBooking相关问题 [email protected]
crm CRM [email protected]
erp ERP问题 [email protected]
HR 更改邮箱后分机号、加入邮箱组 [email protected]
IS 电脑软硬件/网络/邮箱 [email protected]
订单相关 返现 Coupon-现付 [email protected]
Coupon立减-预付 [email protected]
恶意订单 恶意订单核查/风控问题、黑名单 [email protected]
恶意订单核查/风控问题升级 [email protected]
支付 支付系统问题 [email protected]
促销/分销 市场 市场促销问题咨询 [email protected]
分销渠道 分销渠道的上线、下线问题咨询 [email protected]
去哪儿网的分销下线发给张立萍/宋思雄 [email protected];[email protected]
芒果网的分销下线的发给夏敏 [email protected]
expedia分销 咨询expedia分销问题 [email protected]
其他 法务 法律事务相关 [email protected]
法务升级人 [email protected]
Oracle ERP Alert邮件 http://erp.corp.elong.com:8000
王浩,您好。
您的员工编号为:00021969(您的ERP登陆用户名为员工编号后5位数字)
以下权限已经开通:
1001_艺龙网-北京_费用报销
ELONG EMPLOYEE SS
登陆ERP的初始密码为: e-long9645
请尽快登陆ERP进行修改。

修复方案:

版权声明:转载请注明来源 DloveJ@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-06 16:08

厂商回复:

感谢白帽子对我们的关注!

最新状态:

暂无