当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156865

漏洞标题:国家免费孕前优生管理与决策系统、信息管理系统、数字家庭咨询系统(账号密码泄露)泄露大量敏感信息

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-12-01 15:40

修复时间:2016-01-18 14:00

公开时间:2016-01-18 14:00

漏洞类型:后台弱口令

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-01: 细节已通知厂商并且等待厂商处理中
2015-12-04: 厂商已经确认,细节仅向厂商公开
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

国家免费孕前优生管理与决策系统、信息管理系统、数字家庭咨询系统泄露大量敏感信息,可分别由临床医生(D开头账号),检验医师(T开头账号),影像医师(I开头账号),随访医生(F开头账号)账号登陆医疗服务信息系统。信息员(S开头账号)从管理与决策信息系统地址访问登录。

详细说明:

1.png


2.png


3.png

4.jpg

5.png


这个为管理与决策系统 http://**.**.**.**/login/ssoLogin_login2.action
S621202000
S621202101
S621202102
S621202103
S621202104
S621202105
S621202108
S621202109
S621202110
S621202111
S621202200
S621202201
S621202204
S621202210
这些账号密码均为 wd-123456

漏洞证明:

6.png


7.png


这个是信息管理系统,http://**.**.**.**/login/ssoLogin_doctor.action
上面账户S替换为T 密码不变

13.png

14.png

15.png


可以看到用户体检结果(包括用户各种隐私病种)

12.png


上面账户T替换为D 密码不变

8.png

17.png

18.png

19.png


11.png


上面账户D替换为I 密码不变

9.png

10.jpg


16.png


各种类型账号均可登陆该系统

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-12-04 14:00

厂商回复:

重复漏洞,CNVD不再重复处置。

最新状态:

暂无