漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开
简要描述:
这回可真是某系统了,具体是什么系统我也看不明白。
庞大的系统,可以任意启动停止修改设置:身份认证服务、全文检索服务、升级服务、文件传输、即时通讯、安卓手机推送、报表服务、邮件服务、电子签名服务、实施服务、OLAP服务器。
通过强大的“审核元素”技术,可以获取各服务的数据库配置,数据库开启了外网连接,连上发现庞大的数据表(512个?)。
其他的表没看,用户表有2300来个员工账号(电话、邮箱、姓名、办公室电话等等),登陆系统后通过一堆复杂的组织机构才发现是属于中石化的系统。
详细说明:
控制台地址:
弱口令:
漏洞证明:
庞大的系统,可以任意启动停止修改设置:身份认证服务、全文检索服务、升级服务、文件传输、即时通讯、安卓手机推送、报表服务、邮件服务、电子签名服务、实施服务、OLAP服务器。
通过强大的“审核元素”技术,可以获取各服务的数据库配置邮箱、认证、工作流等等数据库:
数据库开启了外网连接,连上发现庞大的数据表(512个?)
其他的表没看,用户表有2300来个员工账号(电话、邮箱、姓名、办公室电话等等),密码都是123456。。。
登陆系统后通过一堆复杂的组织机构才发现是属于中石化的系统。
修复方案:
修改弱口令,妥善管理密码
版权声明:转载请注明来源 路人甲@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-08-26 16:35
厂商回复:
谢谢,我们将尽快修改
最新状态:
暂无