漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-095283
漏洞标题:Nielsen尼尔森大中华地区数据下载服务器弱口令
相关厂商:Nielsen尼尔森
漏洞作者: 路人甲
提交时间:2015-02-03 10:06
修复时间:2015-03-20 10:08
公开时间:2015-03-20 10:08
漏洞类型:服务弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-03: 细节已通知厂商并且等待厂商处理中
2015-02-06: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-03-20: 细节向公众公开
简要描述:
全球领先的互联网媒体和市场研究公司Nielsen尼尔森大中华地区数据下载服务器弱口令(可以向客户位于全国的服务器推送文件和客户端消息,下载大量的企业数据,控制公司在的全国的服务器的文件下载)
可以向客户位于全国的服务器推送文件和客户端消息
下载大量的企业数据
控制公司在的全国的服务器的文件下载
客户信息
审核元素暴露密码
等一系列应用
他们的客户都是全国个省市级的不乏乐视TV这种大客户
联系他们
http://www.nielsen.com/cn/zh/contact-us.html
尼尔森中国
北京
北京市王府井大街138号新东安市场写字楼第1座11层
邮编:100006
电话:86 10 5812 9000
上海
上海市延安东路618号东海商业中心二期二楼
邮编:200001
电话:86 21 2326 9200
广州
广州市中山五路68号五月花商业广场12楼
邮编:510030
电话:86 20 8316 4000
详细说明:
问题url:https://122.144.130.98/
admin admin
乐视
向客户位于全国的服务器推送文件和客户端消息
要是发送木马的消息或者链接后果不堪设想吧
https://122.144.130.98/adminscreens/pblsh_data_screen.aspx
这些数据每天上传的都是商业机密数据吧
都是客户信息资料
可以随意删除
https://122.144.130.98/adminscreens/prg_data_screen.aspx
商业数据下载
https://122.144.130.98/userscreens/dwnld_data_screen.aspx
数据类型
https://122.144.130.98/adminscreens/data_type_list.aspx
绝对类型都爆出来了
环境
都是绝对路径
https://122.144.130.98/adminscreens/env_list.aspx
可以随便添加
所有客户的联系方式
3页就不全部截图了
https://122.144.130.98/adminscreens/group_list.aspx
用户这里还有一个漏洞 审核元素暴露密码
https://122.144.130.98/adminscreens/user_edit.aspx
订阅什么东西
还有一个什么就不知道了
漏洞证明:
问题url:https://122.144.130.98/
admin admin
乐视
向客户位于全国的服务器推送文件和客户端消息
要是发送木马的消息或者链接后果不堪设想吧
https://122.144.130.98/adminscreens/pblsh_data_screen.aspx
这些数据每天上传的都是商业机密数据吧
都是客户信息资料
可以随意删除
https://122.144.130.98/adminscreens/prg_data_screen.aspx
商业数据下载
https://122.144.130.98/userscreens/dwnld_data_screen.aspx
数据类型
https://122.144.130.98/adminscreens/data_type_list.aspx
绝对类型都爆出来了
环境
都是绝对路径
https://122.144.130.98/adminscreens/env_list.aspx
可以随便添加
所有客户的联系方式
3页就不全部截图了
https://122.144.130.98/adminscreens/group_list.aspx
用户这里还有一个漏洞 审核元素暴露密码
https://122.144.130.98/adminscreens/user_edit.aspx
订阅什么东西
还有一个什么就不知道了
修复方案:
修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-02-06 14:28
厂商回复:
暂未建立直接处置渠道,通过公开渠道向网站管理单位通报,rank 11
最新状态:
暂无