漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-012971
漏洞标题:某政府信息公开直报系统密码泄漏
相关厂商:某zf
漏洞作者: 刺刺
提交时间:2012-10-03 11:17
修复时间:2012-11-17 11:18
公开时间:2012-11-17 11:18
漏洞类型:内部绝密信息泄漏
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-03: 细节已通知厂商并且等待厂商处理中
2012-10-07: 厂商已经确认,细节仅向厂商公开
2012-10-17: 细节向核心白帽子及相关领域专家公开
2012-10-27: 细节向普通白帽子公开
2012-11-06: 细节向实习白帽子公开
2012-11-17: 细节向公众公开
简要描述:
某个(云搞得很有名的)政府的网站的信息公开报送系统地址和用户密码可以通过搜索引擎搜获。
详细说明:
在google中搜索:
site:xm.gov.cn wcm
可以发现厦门市政府信息公开直报系统的用户手册以及登录地址,各级局属单位的用户名和密码。经典的1-8,粗略估计20个单位没有改过,登录管理没有问题。
漏洞证明:
修复方案:
1. google
2. 改密码
3. 删文件
4.附赠:cloud.xm.gov.cn存在本地文件包含的问题。可以参考:太极网站的这个,
WooYun: 太极网站本地文件包含漏洞
你们是一样一样的
版权声明:转载请注明来源 刺刺@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-10-07 23:16
厂商回复:
CNVD确认信息泄露情况,以安全管理事件进行认定处置。转由CNCERT福建分中心联系涉事单位处置。
rank 10
最新状态:
暂无