漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094672
漏洞标题:中国农业信息网某单点登录系统查看修改任意用户信息及密码
相关厂商:中国农业信息网
漏洞作者: Code_Monkey
提交时间:2015-01-30 15:09
修复时间:2015-03-16 15:10
公开时间:2015-03-16 15:10
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-30: 细节已通知厂商并且等待厂商处理中
2015-02-04: 厂商已经确认,细节仅向厂商公开
2015-02-14: 细节向核心白帽子及相关领域专家公开
2015-02-24: 细节向普通白帽子公开
2015-03-06: 细节向实习白帽子公开
2015-03-16: 细节向公众公开
简要描述:
中国农业信息网是中华人民共和国农业部官方网站,1996年建成。目前已经形成以54个精品频道、28个专业网站以及各省(区、市)农业网站为一体的,全国各级政府农业网站联网运行,成为具有权威性和广泛影响的国家农业综合门户网站。作为中国政府农业官方网站,其对国内外的影响日益扩大,目前日均点击数340万次左右,访问量在国内农业网站居首位,全球农业网站第二位。
详细说明:
http://sso.agri.gov.cn/iUser_user/pages/login_portal.jsp
可以随意注册, 查看指定用户名的用户信息, 并且可以成功修改指定用户密码
漏洞证明:
登录界面
随便注册个账号... 惊讶的发现居然查看个人信息直接传的username
然后看到了system用户的个人信息
直接去改密码试试
登录成功
再试试进入其他的系统
gqgl.agri.gov.cn
修复方案:
为什么要直接传用户名?
版权声明:转载请注明来源 Code_Monkey@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-02-04 08:28
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.
最新状态:
暂无