漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0195664
漏洞标题:雷沃重工CRM暴力破解泄露合同金额信息
相关厂商:雷沃重工
漏洞作者: gentoofly
提交时间:2016-04-13 09:08
修复时间:2016-05-28 09:10
公开时间:2016-05-28 09:10
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:16
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
雷沃重工股份有限公司(简称雷沃重工)是一家以农业装备、工程机械、车辆、核心零部件、金融为主体业务的大型产业装备制造企业,公司成立于1998年,现有资产161亿元,员工1.6万人。公司成立17年来,累计产销各类机械600余万台,是目前国内最大的农业装备制造企业,成长最快的工程机械制造企业。 2015年雷沃重工凭借在“内涵增长、结构调整、全球化”方面的卓越表现,品牌价值再创新高,达到335.56亿元,位列中国五百最具价值品牌榜第76位。
详细说明:
雷沃重工使用的是微软的CRM,说实话,我还是第一次见到微软的CRM, 用户登录存在暴力破解,使用密码123456破解了好几个用户,选一个用户进去一看,信息量还挺大
之前提交了几个漏洞,说是影响太小不给通过,这个漏洞影响应该不小吧
漏洞证明:
修复方案:
在用户登录处加入验证码,限制一个IP 地址的连续错误次数,培训员工信息安全意识,修改弱口令
版权声明:转载请注明来源 gentoofly@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)