当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157439

漏洞标题:橙天嘉禾某系统越权访问系统日志\弱口令\性能监控后台登录+审计帐号弱口令导致session\协同办公\全公司通讯录泄露

相关厂商:橙天嘉禾

漏洞作者: 路人甲

提交时间:2015-12-11 19:01

修复时间:2016-01-18 11:32

公开时间:2016-01-18 11:32

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

嘉禾公司于1970年由邹文怀、何冠昌和梁风共同创建而成,并于1994 年成为香港的上市公司,是香港电影盛世时期最具影响力的电影发行公司之一,一手栽培出李小龙、成龙、张曼玉等具有国际影响力的电影巨星,为香港电影书写出辉煌篇章。嘉禾电影融资制作超过600部电影。2007年底,老板邹文怀决心隐退,将嘉禾转手橙天娱乐,就此更名橙天嘉禾,结束了一段香江传奇。
橙天嘉禾娱乐 (集团) 有限公司 (简称"橙天嘉禾" 及"集团") 集电影制作、融资、发行及影院营运于一身,是全球颇具影响力的华语电影娱乐集团之一,经营影院遍及中国、香港、台湾及新加坡,集体现已经成为亚洲地区首屈一指的影城管理集团,截至2014年6月30日止经营80个影城,合共592个影厅。并为当地主要电影发行商之一。
集团自创立以来,制作及投资的电影超过600部,是首家成功进军荷里活、闯出名堂的华语电影制作公司,领导电影潮流数十年,于业界举足轻重,"嘉禾"品牌等同优质电影。缔造了李小龙及成龙等国际巨星,并成功发行无数著名的华语及非华语电影,引领了70年代武术喜剧黄金盛世,80年代当代动作喜剧潮流。

集团于1972年成立泛亚,从事电影采购、发行、影带发行、宣传推广等一条龙电影业务,橙天嘉禾于香港华语片发行市场占有重要席位。集团亦积极购买优质的独立影片版权于亚洲区域发行。 现时,橙天嘉禾拥有超过140套片库。
自1977年于香港开设首家电影院开始,集团一直致力提供高品质影院体验予观众,率先将现代化电影院及先进的放映技术带到亚洲。 集团及其子公司,新加坡的嘉华(50%)及台湾的威秀(35.71%),现已成为亚洲地区极具影响力的影院管理集团,影院遍及中国、香港、台湾及新加坡。
集团在新加坡和台湾地区市场占有率常年稳居榜首,集体于2012年12月底在中国大陆地区影城的规模(影城数、银幕数和座位数)已跻身影院品牌前十大。年内,集团相继与IMAX﹑索尼中国(4K业务)、新世界中国地产有限公司、新昌管理服务有限公司及观澜湖商业地产等多家领先企业成为战略合作伙伴,携手拓展中国内地市场。此外,集团旗下深圳影城于激烈的市场竞争中,仍然高踞国内票房的前三甲位置。
集团将继续深化国内外的布局,积极物色新加坡及其他亚洲市场的并购机会,并搭建强大的电影制作资本平台,加大上游制作业务的力度,实现更多的整合优势,力争在不久的将来成为国内最大的影城营运公司之一及亚洲电影产业链的最大整合者。

详细说明:

QQ截图20151201205904.png


#1越权访问系统日志session泄露
http://wap.yingyuan.cn/seeyon//logs/login.log

QQ截图20151201205914.png


#2弱口令协同办公、全公司通讯录
http://wap.yingyuan.cn/seeyon/
baolinjing 123456

QQ截图20151201205928.png


QQ截图20151201205939.png


QQ截图20151201205949.png


#3性能监控后台
management/status.jsp
WLCCYBD@SEEYON

QQ截图20151201210017.png


QQ截图20151201210023.png


#4审计帐号
audit-admin 123456

QQ截图20151201210113.png


QQ截图20151201210128.png

漏洞证明:

同上

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)