当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145429

漏洞标题:58同城某处敏感信息泄露导致某系统多个账户可登录涉及敏感信息

相关厂商:58同城

漏洞作者: 路人甲

提交时间:2015-10-10 10:55

修复时间:2015-11-26 18:26

公开时间:2015-11-26 18:26

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-10: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经确认,细节仅向厂商公开
2015-10-22: 细节向核心白帽子及相关领域专家公开
2015-11-01: 细节向普通白帽子公开
2015-11-11: 细节向实习白帽子公开
2015-11-26: 细节向公众公开

简要描述:

RT

详细说明:

通过QQ查找功能可看到58同城CRM系统初始密码为Pasw1234,用常用用户名和进行登陆时,可获取60多个账号,但是登陆时发现需要进行微信认证~但有些账号需要修改密码,修改密码后可登陆查看相关信息,我将chenxiuzhen和yanghong的密码修改成了admin@123。

zhangli
lijun
liyong
chenj
lh
lihua
lh
lh
zhangli
libin
chenj
lijun
lh
lh
wanghua
lining
chenj
chenhao
lh
chenj
wangfy
lijian
lh
chenhua
yanghua
lh
liyy
wangxm
lh
lh
wanglh
libin
lh
chenj
yangxl
lijian
chenmei
lisy
zhangli
chenj
wangfang
wangxiuying
lixiuying
zhangjing
zhanglei
chenjing
chenyong
liuguiying
lixiuzhen
zhanghao
zhangxia
wangyuzhen
wanghong
lihongmei
lichunmei
wanghaiyan
wanglijuan
lilanying
zhanglei
liujianhua
zhangjing
wangdongmei
lixiaohong
zhangshuying
zhoujing
yanghong
chenxiuzhen


0.png

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

漏洞证明:

0.png

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

修复方案:

虽然进行了相关设置,还是改一下原始密码吧~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-12 18:26

厂商回复:

神一样的对手,那啥一样的队友!!
感谢反馈,确认漏洞存在,已经反馈给相关责任人进行处理。

最新状态:

暂无