当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157786

漏洞标题:辽宁机场管理集团某系统越权访问系统日志+弱口令+性能监控后台登录+审计帐号弱口令导致session、协同办公、全公司通讯录(数十家子公司)泄露

相关厂商:辽宁机场管理集团

漏洞作者: 路人甲

提交时间:2015-12-03 10:52

修复时间:2016-01-21 13:50

公开时间:2016-01-21 13:50

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-03: 细节已通知厂商并且等待厂商处理中
2015-12-07: 厂商已经确认,细节仅向厂商公开
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

辽宁省机场管理集团公司于2003年12月30日成立。集团公司现辖沈阳桃仙国际机场、丹东机场、锦州机场、朝阳机场、托管鞍山机场。
辽宁机场管理集团公司成立以来,在振兴东北老工业基地的大环境下,各项工作取得显著成绩。运输生产稳步增长,安全形势总体平稳,服务质量明显提高,基本建设有序推进,党建思想政治工作保障有力充分发挥集团各成员机场良好的社会服务窗口作用。截至2010年5月底,辽宁机场集团共开通航线103条,通航城市达75个,执飞航空公司达21家。其中,沈阳桃仙国际机场开通航线97条,包括国内航线78条,国际及港澳台地区航线19条。
近年来,集团公司先后成功保证了抗震救灾、北京奥运会、广州亚运会等重要任务;连续多年荣获全国“安康杯”竞赛活动优胜企业;实现了朝阳机场复航、鞍山机场开航,沈阳机场、丹东机场扩建和锦州新机场选址工作正在进行中。
2010年是集团公司发展史上具有里程碑意义的一年。新任领导班子确立了“新起点、新目标、新航程”的三大工作思路。在上级领导的大力支持和集团全员工的共同努力下,全力推进桃仙机场三期扩建、千方百计提高桃仙机场运输生产量、全面推进业务重组,各方面工作取得了显著成绩,为集团公司步入良性发展快车道奠定了坚实的基础。
展望未来,集团公司将在“致力于成为最具影响力的东北亚机场集团”的企业愿景指引下,积极履行“助力东北振兴,开辟幸福航程”的企业使命,同心协力,共创共进,为辽宁老工业基地的振兴和民航事业的发展做出更大的贡献。

详细说明:

QQ截图20151202211011.png


#1越权访问系统日志session泄露
**.**.**.**/seeyon//logs/login.log

QQ截图20151202211015.png


#2弱口令协同办公、全公司通讯录
**.**.**.**/seeyon/
xxyxdd 123456

QQ截图20151202211026.png


QQ截图20151202211054.png


QQ截图20151202211104.png


#3性能监控后台
management/status.jsp
WLCCYBD@SEEYON

QQ截图20151202211121.png


QQ截图20151202211127.png


#4审计帐号
audit-admin 123456

QQ截图20151202211153.png


QQ截图20151202211202.png

漏洞证明:

同上

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-12-07 13:49

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向民航行业测评中心通报,并抄报辽宁分中心协助处置,由其后续协调网站管理单位处置.

最新状态:

暂无