当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157194

漏洞标题:高露洁某系统越权访问系统日志+弱口令+审计帐号弱口令+普通用户拥有管理员权限可以直接查看所有用户信息导致session、协同办公、全公司合同、通讯录泄露

相关厂商:高露洁

漏洞作者: 路人甲

提交时间:2015-12-01 09:42

修复时间:2016-01-15 09:44

公开时间:2016-01-15 09:44

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

【美国上市公司】高露洁棕榄有限公司[CL]_美股
成立于1806年,威廉·高露洁以自己的名字注册了一家公司,以生产牙膏开始事业。1890年,高露洁走出美国本土拓展全球业务。1953年,在与棕榄公司合并后,正式使用高露洁棕榄(Colgate-Palmolive)公司名称。如今,经过近200年的风雨历程,它生产的个人护理用品已经销售到世界200多个国家和地区,成为销售额达94亿美元的全球消费品公司。
高露洁棕榄有限公司是全球领先的日用消费品公司,拥有200多个国家的40,000多员工,在口腔护理、个人护理、家居护理和宠物食品等方面为大众提供高品质的消费品,其中有很多是广大消费者耳熟能详的全球著名品牌,如高露洁、棕榄、Ajax、Protex、Irish Spring、Fab、Mennen、Simply White和Hill's Science Diet等,特别是在口腔护理、液体香皂和腋下护理领域,在全球具有明显优势,在其他领域,高露洁也有一大批在日用卫生方面为全球消费者所熟知的品牌。

详细说明:

QQ截图20151130221253.png


#1越权访问系统日志session泄露
http://211.147.244.215/seeyon//logs/login.log

QQ截图20151130221331.png


#2弱口令协同办公、全公司合同
http://211.147.244.215/seeyon/
xiaojun liao 123456

QQ截图20151130221553.png


QQ截图20151130221607.png


QQ截图20151130221613.png


QQ截图20151130221623.png


QQ截图20151130221630.png


QQ截图20151130221636.png


QQ截图20151130221643.png


QQ截图20151130221649.png


QQ截图20151130221655.png


QQ截图20151130221724.png


QQ截图20151130221757.png


QQ截图20151130221857.png


QQ截图20151130221933.png


QQ截图20151130221949.png


QQ截图20151130222039.png


QQ截图20151130222248.png


QQ截图20151130222411.png


QQ截图20151130222428.png


QQ截图20151130222455.png


#3审计帐号
audit-admin 123456

QQ截图20151130222749.png


QQ截图20151130222754.png


#4普通用户拥有管理员权限可以直接查看所有用户信息(通讯录)
ctp/sysmgr/monitor/cacheDump.do?g=com.seeyon.ctp.organization.dao.OrgCache&c=OrgMember

QQ截图20151130222658.png

漏洞证明:

同上

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)