当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0162760

漏洞标题:华夏幸福基业股份有限公司某系统漏洞泄漏大量敏感信息

相关厂商:华夏幸福基业股份有限公司

漏洞作者: Ysql404

提交时间:2015-12-20 22:56

修复时间:2016-02-01 10:51

公开时间:2016-02-01 10:51

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

华夏幸福基业股份有限公司(股票代码:600340)创立于1998年,是中国领先的产业新城运营商。

详细说明:

01 弱口令
http://pmr.cfldcn.com/,密码为123456

54	wanghui	302	false	false	775	
135	yangfan	302	false	false	775	
32854	maowei	302	false	false	775	
53090	wanghui	302	false	false	775	
53214	wangquan	302	false	false	775	
58845	yangfan	302	false	false	775	
63938	zhangxiao	302	false	false	775	
55843	xiaojin	302	false	false	777	
55879	xiaolie	302	false	false	777		
29743	linan	302	false	false	793	密码改为123456abc


QQ图片20151219112624.jpg


QQ图片20151219112728.jpg


QQ图片20151219112756.jpg


QQ图片20151219112848.jpg


QQ图片20151219114101.png


QQ图片20151219114300.jpg

漏洞证明:

QQ图片20151219114919.png


QQ图片20151219114919.png


QQ图片20151219115400.png


QQ图片20151219120217.png


02 未授权访问,可直接查看项目信息
http://wxsaletest.cfldcn.com:8080/redmine/projects/console/issues?set_filter=1&tracker_id=2

QQ图片20151219182015.png


http://wxsaletest.cfldcn.com:8080/redmine/users/1

QQ图片20151219182213.png


QQ图片20151219182238.png

修复方案:

修改弱口令,增加权限控制

版权声明:转载请注明来源 Ysql404@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝