漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0157194
漏洞标题:高露洁某系统越权访问系统日志+弱口令+审计帐号弱口令+普通用户拥有管理员权限可以直接查看所有用户信息导致session、协同办公、全公司合同、通讯录泄露
相关厂商:高露洁
漏洞作者: 路人甲
提交时间:2015-12-01 09:42
修复时间:2016-01-15 09:44
公开时间:2016-01-15 09:44
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
【美国上市公司】高露洁棕榄有限公司[CL]_美股
成立于1806年,威廉·高露洁以自己的名字注册了一家公司,以生产牙膏开始事业。1890年,高露洁走出美国本土拓展全球业务。1953年,在与棕榄公司合并后,正式使用高露洁棕榄(Colgate-Palmolive)公司名称。如今,经过近200年的风雨历程,它生产的个人护理用品已经销售到世界200多个国家和地区,成为销售额达94亿美元的全球消费品公司。
高露洁棕榄有限公司是全球领先的日用消费品公司,拥有200多个国家的40,000多员工,在口腔护理、个人护理、家居护理和宠物食品等方面为大众提供高品质的消费品,其中有很多是广大消费者耳熟能详的全球著名品牌,如高露洁、棕榄、Ajax、Protex、Irish Spring、Fab、Mennen、Simply White和Hill's Science Diet等,特别是在口腔护理、液体香皂和腋下护理领域,在全球具有明显优势,在其他领域,高露洁也有一大批在日用卫生方面为全球消费者所熟知的品牌。
详细说明:
#1越权访问系统日志session泄露
http://211.147.244.215/seeyon//logs/login.log
#2弱口令协同办公、全公司合同
http://211.147.244.215/seeyon/
xiaojun liao 123456
#3审计帐号
audit-admin 123456
#4普通用户拥有管理员权限可以直接查看所有用户信息(通讯录)
ctp/sysmgr/monitor/cacheDump.do?g=com.seeyon.ctp.organization.dao.OrgCache&c=OrgMember
漏洞证明:
同上
修复方案:
修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)