漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0194221
漏洞标题:泛华保网某运维系统未授权访问可任意操作/43万记录/部分是保单(车辆详细信息/被保人姓名身份证)
相关厂商:泛华保险服务集团
漏洞作者: 路人甲
提交时间:2016-04-09 12:18
修复时间:2016-05-26 14:40
公开时间:2016-05-26 14:40
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-09: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已经确认,细节仅向厂商公开
2016-04-21: 细节向核心白帽子及相关领域专家公开
2016-05-01: 细节向普通白帽子公开
2016-05-11: 细节向实习白帽子公开
2016-05-26: 细节向公众公开
简要描述:
泛华保网某运维系统未授权访问可任意操作,43万记录,部分是保单()
详细说明:
主站 http://203.195.162.226:8080/
http://203.195.162.226:8080/logRecord/show/5105339
<AgtCde>620369743</AgtCde> <Org> <FullNm>河北泛联保险代理有限公司</FullNm>
http://www.cninsure.net/News/NewsInfo.aspx?ID=8162 河北泛联保险代理有限公司是泛华集团的
日志列表 http://203.195.162.226:8080/logRecord/list
INSPOLICY_UPLOAD_SUCCESS 这类的都是保单详情,车辆详细信息,被保人姓名身份证都可以看到
http://203.195.162.226:8080/logRecord/show/5105339
http://203.195.162.226:8080/logRecord/show/5105340
http://203.195.162.226:8080/logRecord/show/5105341
<PlateNum>冀F255HB</PlateNum>
<FrameNum>LGWEE2K57DE039289</FrameNum>
<EngineNum>1303019190</EngineNum>
<VIN>LGWEE2K57DE039289</VIN>
<VehicleType>腾翼C30 长城CC7150CE0C轿车</VehicleType>
<FullNm>杨克跃</FullNm>
</Person>
<Reg>
<RegTyp>01</RegTyp>
<IDStr>130632198501214816</IDStr>
漏洞证明:
修复方案:
rt
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2016-04-11 14:32
厂商回复:
非常感谢!
最新状态:
暂无