漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-059333
漏洞标题:新东方某子机构分站存在任意添加用户及查看他人信息
相关厂商:新东方
漏洞作者: 氓氓童鞋
提交时间:2014-05-04 12:35
修复时间:2014-06-18 12:35
公开时间:2014-06-18 12:35
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-04: 细节已通知厂商并且等待厂商处理中
2014-05-04: 厂商已经确认,细节仅向厂商公开
2014-05-14: 细节向核心白帽子及相关领域专家公开
2014-05-24: 细节向普通白帽子公开
2014-06-03: 细节向实习白帽子公开
2014-06-18: 细节向公众公开
简要描述:
新东方某子机构分站存在任意添加学生用户,查看其他用户信息
详细说明:
理论上各个学校的学生是固定的,不能通过网站任意添加学生用户,但北京新东方扬州外国语学校网站存在简易学生信息查询页面,也可以通过此页面的注册用户模块进行任意学生帐号的添加,将任意新增学生加入到现有学生班级中,同时在知道了学生姓名情况下进行查询,信息包括登录信息,班级信息以及家长联系方式等。虽然此漏洞需要在知道其他学生姓名的情况下才能查询,但想要知道部分学生姓名很容易,可通过网站其他页面进行信息搜集,要重视,如果被恶意利用,后果可不得了。。。。。
http://www.neworiental-k12.org/
url:http://www.neworiental-k12.org/search.asp
添加学生账户
查看他人信息
可登录学生对应系统
漏洞证明:
修复方案:
删除此简易学生信息查询界面。。。
我可听说新东方是有礼物的哦。。。
版权声明:转载请注明来源 氓氓童鞋@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-05-04 13:46
厂商回复:
谢谢提供消息,我们会尽快确认并修复。
最新状态:
暂无