漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0140337
漏洞标题:鱼跃医疗某论坛弱口令可导致65148位会员信息泄露(二)
相关厂商:鱼跃医疗
漏洞作者: 路人甲
提交时间:2015-09-11 11:43
修复时间:2015-10-26 11:44
公开时间:2015-10-26 11:44
漏洞类型:服务弱口令
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
鱼跃医疗是国内最大的康复护理、医用供氧及医用临床系列医疗器械的专业生产企业。生产的产品共计50多个品种,近400余种规格,是全国同行业生产企业中产品品种最丰富的企业之一。鱼跃医疗秉承做专做精的理念,力争每个主要产品做到行业前三名,其前六大产品有制氧机,雾化器、血压计、听诊器、超轻微氧气阀五个产品的市场占有率达到全国第一,其中制氧机产品更是达到了全球销量第一的水平。轮椅车、电子血压计的市场占有率全国第二
详细说明:
存在问题站点:bbs.yuyue.com.cn
漏洞证明:
管理员存在弱口令:519519
65148位会员
进入admin
漏洞利用:
利用UC自带API获取到UC_KEY和数据库等信息,UC_KEY有什么用,参见 WooYun: Discuz的利用UC_KEY进行getshell
可进一步getshell
修复方案:
检查
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝