当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099324

漏洞标题:某学校网站管理系统数据库下载导致用户密码泄露(涉及大量学校)

相关厂商:深圳中动力网络技术有限公司

漏洞作者: 独孤求败

提交时间:2015-03-06 12:35

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

。。。

详细说明:

问题厂商:深圳中动力网络技术有限公司 http://www.zhongdongli.com
问题CMS:蓝色职业技术学院网站源码(商业版)
下载地址:http://down.chinaz.com/soft/35982.htm
可谷歌搜索:inurl:huanjing.asp?cls=

QQ图片20150303204622.jpg


数据库地址:/Database/sq_xikeedu.mdb
实例如下:
http://www.byxgzcrx.com//Database/sq_xikeedu.mdb
http://www.xazy168.com//Database/sq_xikeedu.mdb
http://www.gf79gh.com//Database/sq_xikeedu.mdb
http://www.blzx.net//Database/sq_xikeedu.mdb
http://hqjt.em.swjtu.edu.cn//Database/sq_xikeedu.mdb
http://www.dhslcj.com//Database/sq_xikeedu.mdb
http://yb.hnjd.edu.cn:8044//Database/sq_xikeedu.mdb
http://chuzhong.donghaischool.com/Database/sq_xikeedu.mdb

漏洞证明:

直接下载数据库。。。

QQ图片20150303205452.jpg

QQ图片20150303205550.jpg

QQ图片20150303204916.jpg


证明如下:

QQ图片20150303205838.jpg

QQ图片20150303205943.png


修复方案:

。。。

版权声明:转载请注明来源 独孤求败@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝