漏洞概要
关注数(24)
关注此漏洞
漏洞标题:
厦门港务物流公司主站sql注入(一个账号进了网站+文件+OA三个系统,泄露客户信息及订单信息)
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
>
漏洞详情
披露状态:
2015-12-18: 细节已通知厂商并且等待厂商处理中
2015-12-22: 厂商已经确认,细节仅向厂商公开
2016-01-01: 细节向核心白帽子及相关领域专家公开
2016-01-11: 细节向普通白帽子公开
2016-01-21: 细节向实习白帽子公开
2016-02-04: 细节向公众公开
简要描述:
厦门港务物流公司主站sql注入,OA系统泄露所有客户订单信息,客户包括中远、中亚等大客户~~
http://www.xmpl.com.cn
厦门港务物流有限公司成立于2001年11月,是厦门港务控股集团成员企业,系上市企业港务发展(000905)全资子公司,注册资本人民币6,500万元,是立足于海西的综合港口物流服务商,为厦门市首批“重点物流企业”之一,并获“厦门集装箱场站周转量突出贡献单位”称号,是中物联认定的AAAA级物流企业。
详细说明:

注入点:**.**.**.**/news.asp?CID=14&ClassID=1
注出管理员账号
账号admin,密码如上
一号连进三系统
1.网站后台:http://**.**.**.**/system/Admin_index.asp

2.文档管理:http://**.**.**.**/CmsEditor/admin_style.asp

3.OA:http://**.**.**.**/usr/PxBs001.asp

OA泄露了所有客户和货代的信息及订单信息,


数量就不深挖了,估计不会是小数~~
漏洞证明:
修复方案:
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-12-22 17:44
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无