漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-017764
漏洞标题:正方教务管理系统 可直接查询教师提交但教务处未审核的成绩
相关厂商:杭州正方软件股份有限公司
漏洞作者: qupei2u
提交时间:2013-01-28 12:34
修复时间:2013-03-14 12:35
公开时间:2013-03-14 12:35
漏洞类型:网络敏感信息泄漏
危害等级:低
自评Rank:1
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-28: 细节已通知厂商并且等待厂商处理中
2013-02-01: 厂商已经确认,细节仅向厂商公开
2013-02-11: 细节向核心白帽子及相关领域专家公开
2013-02-21: 细节向普通白帽子公开
2013-03-03: 细节向实习白帽子公开
2013-03-14: 细节向公众公开
简要描述:
可直接查询教师提交,但教务处未审核的成绩。无需登录,可查询全校所有学生。
详细说明:
如该学校教务管理系统地址为1.85.16.39 :
先获取到某学科的课程代码,
在个人信息-信息发送-查看源文件里
然后把获取的代码替换到下面的地址里即可下载
http://1.85.16.39/toexcel_PrintDialog.aspx?kc=此处填写课程代码&tab=jxrwb_lsb&psb=30&qzb=0&qmb=70&syb=0&cjxn=2012-2013&cjxq=1&kclx=必修课
漏洞证明:
修复方案:
下载成绩单时进行身份验证
版权声明:转载请注明来源 qupei2u@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2013-02-01 22:56
厂商回复:
CNVD已对近期正方教务管理系统相关的漏洞进行了完整梳理,并由CNVD直接联系软件生产厂商进行处置,后续将对这些漏洞进行实例复测。
按需要弱用户认证,部分影响机密性进行评分,rank=4.30*1.1*1.3=6.149
最新状态:
暂无