当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095283

漏洞标题:Nielsen尼尔森大中华地区数据下载服务器弱口令

相关厂商:Nielsen尼尔森

漏洞作者: 路人甲

提交时间:2015-02-03 10:06

修复时间:2015-03-20 10:08

公开时间:2015-03-20 10:08

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-03: 细节已通知厂商并且等待厂商处理中
2015-02-06: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-03-20: 细节向公众公开

简要描述:

全球领先的互联网媒体和市场研究公司Nielsen尼尔森大中华地区数据下载服务器弱口令(可以向客户位于全国的服务器推送文件和客户端消息,下载大量的企业数据,控制公司在的全国的服务器的文件下载)
可以向客户位于全国的服务器推送文件和客户端消息
下载大量的企业数据
控制公司在的全国的服务器的文件下载
客户信息
审核元素暴露密码
等一系列应用
他们的客户都是全国个省市级的不乏乐视TV这种大客户
联系他们
http://www.nielsen.com/cn/zh/contact-us.html
尼尔森中国
北京
北京市王府井大街138号新东安市场写字楼第1座11层
邮编:100006
电话:86 10 5812 9000

上海
上海市延安东路618号东海商业中心二期二楼
邮编:200001
电话:86 21 2326 9200

广州
广州市中山五路68号五月花商业广场12楼
邮编:510030
电话:86 20 8316 4000

详细说明:

问题url:https://122.144.130.98/
admin admin

QQ截图20150202183339.png


Data Downloader server.png


乐视

QQ截图20150202183609.png


向客户位于全国的服务器推送文件和客户端消息
要是发送木马的消息或者链接后果不堪设想吧
https://122.144.130.98/adminscreens/pblsh_data_screen.aspx

QQ截图20150202183657.png


这些数据每天上传的都是商业机密数据吧
都是客户信息资料
可以随意删除
https://122.144.130.98/adminscreens/prg_data_screen.aspx

QQ截图20150202183814.png


商业数据下载
https://122.144.130.98/userscreens/dwnld_data_screen.aspx

QQ截图20150202183824.png


数据类型
https://122.144.130.98/adminscreens/data_type_list.aspx
绝对类型都爆出来了

QQ截图20150202184029.png


QQ截图20150202184037.png


环境
都是绝对路径
https://122.144.130.98/adminscreens/env_list.aspx

QQ截图20150202184153.png


可以随便添加

QQ截图20150202184204.png


所有客户的联系方式
3页就不全部截图了
https://122.144.130.98/adminscreens/group_list.aspx

QQ截图20150202184323.png


用户这里还有一个漏洞 审核元素暴露密码
https://122.144.130.98/adminscreens/user_edit.aspx

QQ截图20150202184513.png


订阅什么东西

Subscription edit.png


还有一个什么就不知道了

QQ截图20150202184736.png


漏洞证明:

问题url:https://122.144.130.98/
admin admin

QQ截图20150202183339.png


Data Downloader server.png


乐视

QQ截图20150202183609.png


向客户位于全国的服务器推送文件和客户端消息
要是发送木马的消息或者链接后果不堪设想吧
https://122.144.130.98/adminscreens/pblsh_data_screen.aspx

QQ截图20150202183657.png


这些数据每天上传的都是商业机密数据吧
都是客户信息资料
可以随意删除
https://122.144.130.98/adminscreens/prg_data_screen.aspx

QQ截图20150202183814.png


商业数据下载
https://122.144.130.98/userscreens/dwnld_data_screen.aspx

QQ截图20150202183824.png


数据类型
https://122.144.130.98/adminscreens/data_type_list.aspx
绝对类型都爆出来了

QQ截图20150202184029.png


QQ截图20150202184037.png


环境
都是绝对路径
https://122.144.130.98/adminscreens/env_list.aspx

QQ截图20150202184153.png


可以随便添加

QQ截图20150202184204.png


所有客户的联系方式
3页就不全部截图了
https://122.144.130.98/adminscreens/group_list.aspx

QQ截图20150202184323.png


用户这里还有一个漏洞 审核元素暴露密码
https://122.144.130.98/adminscreens/user_edit.aspx

QQ截图20150202184513.png


订阅什么东西

Subscription edit.png


还有一个什么就不知道了

QQ截图20150202184736.png


修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-02-06 14:28

厂商回复:

暂未建立直接处置渠道,通过公开渠道向网站管理单位通报,rank 11

最新状态:

暂无