当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157778

漏洞标题:岐山天缘某系统越权访问系统日志+弱口令导致session、协同办公、全公司通讯录泄露

相关厂商:岐山天缘

漏洞作者: 路人甲

提交时间:2015-12-03 12:16

修复时间:2016-01-17 12:18

公开时间:2016-01-17 12:18

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

岐山天缘食品有限公司位于凤凰山脚下,周公庙东侧。是集研发、生产、销售于一体的调味品生产企业。公司下辖食醋酿造分厂和制曲分厂,得天独厚的地理环境造就了天源醋特有的品质。
企业秉承“产品质量第一,人民健康至上”的经营宗旨,弘扬“笃诚、团结、拼搏、创新”的企业精神,用良心酿造放心产品,以责任锻铸一流质量,精益求精、追求卓越,创造了以传统工艺和现代科技兼容的特色工艺,“歧山天缘”成为脍炙人口的岐山醋品牌。
企业通过ISO90012008质量管理体系认证,荣获宝鸡市食品安全示范单位,陕西省科技企业,陕西省农业产业化龙头企业等多项殊荣,产品荣获陕西省名牌产品,“歧山天缘”荣获陕西省著名商标。
2007年企业实施一期扩建技改,成为陕西省机械化自动化程度较高,规模最大的食醋酿造企业。岐山天缘以优良的品质为根本,卓越的信誉为依托,完善的服务为保障,为广大消费者提供美味和健康。

详细说明:

QQ截图20151202205406.png


#1越权访问系统日志session泄露
http://218.200.8.66:8080/seeyon//logs/ctp.log

QQ截图20151202205407.png


#2弱口令协同办公、全公司通讯录
http://218.200.8.66:8080/seeyon/
徐军辉 123456

QQ截图20151202205440.png


QQ截图20151202205533.png

漏洞证明:

同上

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝