当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088118

漏洞标题:致远公司某QQ邮箱泄漏导致公司内部人员联系方式信息泄漏(包含手机,QQ,邮箱等)

相关厂商:seeyon.com

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2014-12-22 14:23

修复时间:2014-12-27 14:24

公开时间:2014-12-27 14:24

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-22: 细节已通知厂商并且等待厂商处理中
2014-12-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

致远公司某QQ邮箱泄漏导致公司内部人员联系方式信息泄漏(包含手机,QQ,邮箱等)

详细说明:

为什么取这个名字呢 事情还要从这说起 WooYun: 都都宝某系统弱口令(涉及公司内部个人信息)
由于都都宝的OA不善 导致里面的配置邮箱帐号以及泄漏 后确认是致远内部人员的 而这两天没事又试试看 结果还可以登 (这里顺便吐槽一句都都宝 这个弱口令漏洞 都提交了 你们还不修复啊?刚登了下 人还不少)

1.png


邮箱帐号:282821699@qq.com
密码:lee841126


登录进这个邮箱后···

2.png


3.png


4.png


5.png


为什么说是致远 而不是都都宝呢?下面就是证明图片了

6.png


各位致远协创的领导,大家好
       我是都都宝的创始人和董事张伟, 非常高兴能有机会和致远这家公司合作,从整个的商务洽谈到最后的项目实施上线,贵司的各部门人员都全力以赴的配合和支持我们,并且表现出了很高的职业素养,传递给我们很强的企业文化,作为管理者很高兴看到贵司有这么一个强大的团队,希望在以后我们有更深入的合作甚至有创新的业务模式可以探讨。借今天都都宝OA正式运行的时间点再次感谢贵司的项目团队的工作(实施人员:李劲鹏、赵京凯     大客户经理:黄圣)


这应该不难证明是致远而不是都都宝吧 不过不得不吐槽都都宝的不负责 之前两个漏洞 rank 不给我 忽略就算了 连漏洞都不补···你们这做事态度 堪忧啊

漏洞证明:

修复方案:

唉 你们看着办吧

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-27 14:24

厂商回复:

最新状态:

暂无