漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
恒热集团文件遍历导致集团总部以及旗下7个子企业员工信息可泄漏(职位+姓名+考勤信息)
相关厂商:
漏洞作者:
提交时间:
2015-09-14 14:40
修复时间:
2015-10-29 14:42
公开时间:
2015-10-29 14:42
漏洞类型:
敏感信息泄露
危害等级:
低
自评Rank:
2
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2015-09-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
集团历经24年的发展,业务范围涵盖建安业、地产业、制造业、综合服务业等四大主营板块的大型企业集团。恒热集团注册资本总额4.585亿元,有8家子公司,5家分公司,综合实力强大,是河北省知名企业,是开发区“纳税大户”企业.
详细说明:
直接图文演示:
漏洞所在链接:
http://www.qhdhr.com.cn:8081/
考勤信息链接:
http://www.qhdhr.com.cn:8081/hr_cardshow/
其实这个子目录是OA系统的一个子功能,但是因为允许目录遍历导致越权访问:
信息包括集团总部和7个子公司:
所有员工信息(职位---姓名):
考勤信息:
漏洞证明:
直接图文演示:
漏洞所在链接:
http://www.qhdhr.com.cn:8081/
考勤信息链接:
http://www.qhdhr.com.cn:8081/hr_cardshow/
其实这个子目录是OA系统的一个子功能,但是因为允许目录遍历导致越权访问:
信息包括集团总部和7个子公司:
所有员工信息(职位---姓名):
考勤信息:
修复方案:
设置权限
版权声明:转载请注明来源 Baby91DIY@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝