漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2012-03-16: 细节已通知厂商并且等待厂商处理中
2012-03-17: 厂商已经确认,细节仅向厂商公开
2012-03-27: 细节向核心白帽子及相关领域专家公开
2012-04-06: 细节向普通白帽子公开
2012-04-16: 细节向实习白帽子公开
2012-04-30: 细节向公众公开
简要描述:
大量政府站忠网管理系统弱口令
详细说明:
http://www.lcxjj.gov.cn/zongg/
[username] :admin
[password] :admin
http://xnc.nanning.gov.cn/zongg/
[username] :admin
[password] :admin
http://www.sydxga.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.plly.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.pljt.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.jbjsj.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://lkxx.xnedu.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.lcchj.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://xnc.nanning.gov.cn/zongg/
[username] :admin
[password] :admin888
http://www.tyyzqzx.gov.cn/zongg/
[username] :admin
[password] :admin888
http://www.plzfw.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.xspop.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://ez.jingxian.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.suliuzhuang.gov.cn/zongg/index.asp
[username] :admin
[password] :admin
http://www.sdpop.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.gzljh.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
http://www.lcdcda.gov.cn/zongg/index.asp
[username] :admin
[password] :admin888
漏洞证明:
因为大多政府站使用的E创系统,E创系统自带了忠网管理系统,所以XXOO了,可以通过该系统,流量引入,检测了google前几页,不做深究.
修复方案:
密码!!!
版权声明:转载请注明来源 小麦@乌云
>
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2012-03-17 15:08
厂商回复:
CNVD确认漏洞情况,将分两步同时进行处置,一是协调E创CMS厂商做好安装配置服务改进工作,二是对涉及的政府和重要信息部门直接协调处置。
根据评估,该漏洞可能被利用发起挂马攻击。
CNVD对该漏洞评分如下:
基本得分CVSS:(AV:R/AC:L/Au:NR/C:N/A:N/I:C/B:N) score:4.96(中危)
技术难度系数:1.0(一般)
影响危害系数:1.6(较严重,涉及多个政府部门网站)
CNVD综合评分:4.96*1.0*1.6=7.936
最新状态:
暂无