易车网某办公网站弱口令包含大量员工信息 | wooyun-2015-0108010 | WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0108010

漏洞标题：

易车网某办公网站弱口令包含大量员工信息

相关厂商：

易车

漏洞作者：

JJ Fly

提交时间：

2015-04-15 09:14

修复时间：

2015-05-30 09:24

公开时间：

2015-05-30 09:24

漏洞类型：

后台弱口令

危害等级：

高

自评Rank：

20

漏洞状态：

厂商已经确认

漏洞来源：

http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：

无

分享漏洞：

>

漏洞详情

披露状态：

2015-04-15：细节已通知厂商并且等待厂商处理中
2015-04-15：厂商已经确认，细节仅向厂商公开
2015-04-25：细节向核心白帽子及相关领域专家公开
2015-05-05：细节向普通白帽子公开
2015-05-15：细节向实习白帽子公开
2015-05-30：细节向公众公开

简要描述：

易车网某办公网站弱口令包含大量员工信息
看邮箱来说，易车和新意互动两个都有。

详细说明：

网站：http://i.cig.com.cn/
测试mail
eleen.liu@cig.com.cn
betty.gao@cig.com.cn
网站默认密码 666666 (真吉利)

漏洞证明：

如上

修复方案：

如果只在内部用，就不要开放外网了。

版权声明：转载请注明来源 JJ Fly@乌云

>

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-04-15 09:23

厂商回复：

非常感谢对易车的帮助，我们会尽快处理

最新状态：

2015-04-20：已经修复，非常感谢对易车的支持