当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154869

漏洞标题:公安部警犬技术学校越权访问系统日志+弱口令导致session、协同办公、全公司通讯录泄露

相关厂商:公安部一所

漏洞作者: 路人甲

提交时间:2015-11-27 09:11

修复时间:2016-01-11 16:10

公开时间:2016-01-11 16:10

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-27: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

公安部警犬技术学校(以下简称“学校”)、公安部沈阳警犬基地(以下简称“基地”)为“两个番号,一个实体”,是隶属于公安部刑事侦查局的事业单位。学校(基地)位于中国东北的文化古城沈阳市,坐落在世界文化遗产之一的清昭陵旁,占地68亩,总建筑面积19162平方米,有教职工117人,固定资产6556万元,现有存栏犬700余头,主要有德国牧羊犬、荷兰牧羊犬以及德荷杂交犬等警用犬种。

详细说明:

#1越权访问系统日志session泄露
**.**.**.**/seeyon//logs/ctp.log

QQ截图20151121214823.png


#2弱口令协同办公、全公司通讯录
**.**.**.**/seeyon/
2 wangwei 302 false false 344
19 wanglei 302 false false 344
31 zhangyan 302 false false 344
42 lili 302 false false 344
50 zhangyan 302 false false 344
52 liujun 302 false false 344
108 libin 302 false false 344
122 zhangying 302 false false 344
126 lili 302 false false 344
158 yangmin 302 false false 344
166 chentao 302 false false 344
196 zhangying 302 false false 344
198 zhangna 302 false false 344
207 wangxu 302 false false 344
273 liujun 302 false false 344
374 zhangying 302 false false 344
386 libin 302 false false 344
445 wanglei 302 false false 344
123456

QQ截图20151121214842.png


QQ截图20151121214955.png

漏洞证明:

#1越权访问系统日志session泄露
**.**.**.**/seeyon//logs/ctp.log

QQ截图20151121214823.png


#2弱口令协同办公、全公司通讯录
**.**.**.**/seeyon/
2 wangwei 302 false false 344
19 wanglei 302 false false 344
31 zhangyan 302 false false 344
42 lili 302 false false 344
50 zhangyan 302 false false 344
52 liujun 302 false false 344
108 libin 302 false false 344
122 zhangying 302 false false 344
126 lili 302 false false 344
158 yangmin 302 false false 344
166 chentao 302 false false 344
196 zhangying 302 false false 344
198 zhangna 302 false false 344
207 wangxu 302 false false 344
273 liujun 302 false false 344
374 zhangying 302 false false 344
386 libin 302 false false 344
445 wanglei 302 false false 344
123456

QQ截图20151121214842.png


QQ截图20151121214955.png

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-11-27 16:08

厂商回复:

非常感谢!
你提交的漏洞已验证,会尽快修复。

最新状态:

暂无