漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-08-27: 细节已通知厂商并且等待厂商处理中
2014-08-29: 厂商已经确认,细节仅向厂商公开
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-11: 细节向公众公开
简要描述:
河北农业大学urp综合教务系统存在漏洞,获取内网数据库服务器信息,连接数据库,直接操作,改任意信息,管理员、教师、学生账号密码,可修改考试成绩,数万教师学生信息暴露,望快快修复母校这恐怖漏洞,让不法分子获取,学校正常工作都无法开展。
详细说明:
urp教务系统存在任意文件读取漏洞,可读取网页代码中数据库连接文件(servlet/com.runqian.base.util.ReadJavaScriptServlet?file=../../../../../../../../conf/resin.conf),获取数据库信息。再获取一台学校内网服务器后,连接数据库,可对数据库任意操作,危害十分严重,这如果让不法分子获取,后果不堪设想。
http://urp.hebau.edu.cn
漏洞证明:
读取教务系统数据库连接信息
获取内网服务器
连接数据库
测试修改考试成绩。(特别注意修改后的考试成绩我已经还原,只是测试和验证漏洞的可靠性。)
修改前考试成绩
修改后的考试成绩
查询管理教师学生账号密码表
举例查看某可爱眫子老师信息
登录眫子老师成绩录入系统
修复方案:
修复升级urp教务系统,北京清元优软科技有限公司应该会做好的,其他服务器加强安全加固。为防止内部人员渗透,还是得修复选课系统漏洞
版权声明:转载请注明来源 路人丶乙@乌云
>
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-08-29 12:52
厂商回复:
通知处理中
最新状态:
暂无