当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061425

漏洞标题:四川某大学老师帐号和密码泄漏,可以任意更改成绩

相关厂商:湖南青果软件有限公司

漏洞作者: 路人甲

提交时间:2014-05-19 14:57

修复时间:2014-07-03 14:58

公开时间:2014-07-03 14:58

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-19: 细节已通知厂商并且等待厂商处理中
2014-05-23: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向核心白帽子及相关领域专家公开
2014-06-12: 细节向普通白帽子公开
2014-06-22: 细节向实习白帽子公开
2014-07-03: 细节向公众公开

简要描述:

老师的密码是初始密码,未更改。

详细说明:

通过查询老师的工号,用初始密码123456即可登录,可随意更改成绩,危害极大。
google:inurl:/jwweb/ 有很多。

QQ图片20140519133509.jpg


QQ图片20140519133524.jpg


漏洞证明:

就拿我的学校来测试吧:http://jwc.scac.edu.cn/jwweb/
通过课表查询老师的工号

QQ图片20140519133712.jpg


QQ图片20140519132353.jpg


QQ图片20140519132443.jpg


可以录入成绩

QQ图片20140519134126.jpg


查询任意老师的工号,通过查询教室课表

QQ图片20140519134703.jpg


昨晚尝试了十几个老师的工号,都登陆成功。
http://222.90.77.238/jwweb/
http://218.19.119.231/jwweb/
http://rz.wybu.cn/jwweb/
http://202.201.162.136/jwweb/
http://222.56.16.90/jwweb/
http://221.208.0.95/jwweb/
http://xuanke.shupl.edu.cn/jwweb/
http://jwgl.llhc.sx.cn/jwweb/
http://211.67.81.71/jwweb/
http://jwxt.asu.edu.cn/jwweb/
等等,就不用列举了。

修复方案:

改密码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-05-23 14:47

厂商回复:

已针对该产品漏洞通知学校处理

最新状态:

2014-06-04:感谢反馈,目前已经通知用户单位注意初始化口令的安全性,取消匿名用户查看工号功能并分批更新。