当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079249

漏洞标题:创高软件WESCMS存在默认超管用户影响高校、政府等(确认52个实例)

相关厂商:创高软件

漏洞作者: 端端

提交时间:2014-10-16 15:39

修复时间:2015-01-14 15:40

公开时间:2015-01-14 15:40

漏洞类型:默认配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-16: 细节已通知厂商并且等待厂商处理中
2014-10-20: 厂商已经确认,细节仅向厂商公开
2014-10-23: 细节向第三方安全合作伙伴开放
2014-12-14: 细节向核心白帽子及相关领域专家公开
2014-12-24: 细节向普通白帽子公开
2015-01-03: 细节向实习白帽子公开
2015-01-14: 细节向公众公开

简要描述:

杭州创高软件科技有限公司是一家高校信息化建设软件供应服务商。自成立以来致力于为浙江大学等高校提供“一站式”的信息化解决方案。解决方案涵盖高校行政管理、教学教务、学生工作、公共体育、实验设备和文化宣传等领域。

详细说明:

绝大部分均存在用于创高方面进行维护的超级管理员账号 cgsoft 采用统一密码 kf1013(部分站点使用可推测的弱口令:域名+cgsoft)

漏洞证明:

用户名均为 cgsoft
关于密码,如无特殊说明均为 kf1013
江干区科技局
http://www.jgkj.gov.cn/wescms/index.php?cmd=login

捕获.PNG


中国致公党浙江省委员会
http://www.zjzg.org.cn/wescms/index.php?cmd=login
共青团西湖区委员会
http://www.xihuyouth.com/wescms/index.php?cmd=login
浙江省化工学会
http://www.zjhgxh.com/wescms/login.php
浙江电源学会电源之声
http://www.zpss.org/wescms/index.php?cmd=login
中国光学学会光学教育专业委员会
http://www.oeccos.com/wescms/index.php?cmd=login
鲁兴萌蚕病工作站
http://www.lxm3s.com/wescms/index.php?cmd=login
台州职业技术学院
http://www.tzvtc.com/wescms/index.php?cmd=login
浙江工业大学理学院
http://www.lxy.zjut.edu.cn/wescms/index.php?cmd=login
浙江工商大学统计与数学学院
http://tjjy.zjgsu.edu.cn/wescms/index.php?cmd=login
杭州电子科技大学实验室与设备管理处
http://device.hdu.edu.cn/wescms/index.php?cmd=login
浙江大学城市学院图书馆
http://libweb.zucc.edu.cn/wescms/index.php?cmd=login
浙江医学高等专科学校
http://www.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校教务处
http://jwc.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校学生处
http://student.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校系部动态
http://xbdt.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校科研处
http://kyc.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校体育与军事教育部
http://tjb.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校招生网
http://zs.zjmc.net.cn/wescms/index.php?cmd=login
ZHEJIANG MEDICAL COLLEGE
http://en.zjmc.net.cn/wescms/index.php?cmd=login
浙江医学高等专科学校医学一系
http://yxyx.zjmc.net.cn/wescms/index.php?cmd=login
浙江大学人文学部
http://fah.zju.edu.cn/wescms/index.php?cmd=login
共青团浙江大学委员会
http://www.youth.zju.edu.cn/wescms/index.php?cmd=login
浙江大学能源工程学院
http://www.doe.zju.edu.cn/wescms/index.php?cmd=login
浙江大学信息与电子工程实验教学中心
http://isee-lab.zju.edu.cn/wescms/index.php?cmd=login
浙大继续教育学院
http://sce.zju.edu.cn/wescms/index.php?cmd=login
浙江大学经济学院
http://www.cec.zju.edu.cn/wescms/index.php?cmd=login
浙江大学化学工程与生物工程学院
http://che.zju.edu.cn/Bio-Xu/wescms/index.php?cmd=login
浙江大学化学系
http://www.chem.zju.edu.cn/wescms/index.php?cmd=login
浙江大学遗传学研究所
http://www.ig.zju.edu.cn/wescms/index.php?cmd=login
中国公法网
http://www.chinapublaw.zju.edu.cn/wescms/index.php?cmd=login
浙江大学计算机科学与技术学院
http://cspo.zju.edu.cn/wescms/index.php?cmd=login
浙江大学安全保卫处
http://bwb.zju.edu.cn/wescms/index.php?cmd=login
浙大第十三次党代会
http://djxl.zju.edu.cn/wescms/index.php?cmd=login
浙江大学电子显微镜中心
http://cem.zju.edu.cn/wescms/index.php?cmd=login
浙大科教发展战略研究中心
http://www.rcstep.zju.edu.cn/wescms/index.php?cmd=login
浙江大学青年教授联谊会
http://ypa.zju.edu.cn/wescms/index.php?cmd=login
浙江大学微小卫星研究中心
http://microsat.zju.edu.cn/wescms/index.php?cmd=login
浙江大学电气工程学院
http://ee.zju.edu.cn/wescms/index.php?cmd=login
浙江大学物理系
密码 physicscgsoft
http://physics.zju.edu.cn/wescms/index.php?cmd=login
浙江大学医学院附属义乌医院
密码 ywyycgsoft
http://ywyy.zju.edu.cn/wescms/index.php?cmd=login
浙江大学公共体育与艺术部
密码 tyyscgsoft
http://www.tyys.zju.edu.cn/wescms/index.php?cmd=login
浙江大学信息化服务
密码 zuitscgsoft
http://zuits.zju.edu.cn/wescms/login.php
浙江大学图书馆
密码 zuitscgsoft
http://libweb.zju.edu.cn/wescms/login.php
浙江大学离退休工作处
密码 ltxcgsoft
http://www.ltx.zju.edu.cn/wescms/index.php?cmd=login
浙江大学心理健康教育与咨询中心
密码 xlzxcgsoft
http://www.xlzx.zju.edu.cn/wescms/index.php?cmd=login
浙江大学医学院附属义乌医院
密码 ywyycgsoft
http://ywyy.zju.edu.cn/wescms/index.php?cmd=login
浙江大学本科生院
密码 bksycgsoft
http://bksy.zju.edu.cn/wescms/index.php?cmd=login
浙江大学本科生院
密码 bksycgsoft
http://ugrs.zju.edu.cn/wescms/index.php?cmd=login
浙江大学生命科学研究院
密码 lsicgsoft
http://lsi.zju.edu.cn/wescms/index.php?cmd=login
浙江大学海洋学院
密码 dosecgsoft
http://dose.zju.edu.cn/wescms/index.php?cmd=login
浙江大学人事处
密码 hrcgsoft
http://hr.zju.edu.cn/wescms/index.php?cmd=login

修复方案:

使用不同密码,或关闭该账号

版权声明:转载请注明来源 端端@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-20 11:13

厂商回复:

最新状态:

暂无