漏洞概要
关注数(24)
关注此漏洞
漏洞标题:易车某站未授权访问引发注入50+系统可控3千+内部员工信息泄露
相关厂商:易车
提交时间:2015-03-30 14:05
修复时间:2015-05-14 14:28
公开时间:2015-05-14 14:28
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-03-30: 厂商已经确认,细节仅向厂商公开
2015-04-09: 细节向核心白帽子及相关领域专家公开
2015-04-19: 细节向普通白帽子公开
2015-04-29: 细节向实习白帽子公开
2015-05-14: 细节向公众公开
简要描述:
RT
详细说明:
历史漏洞看到easypass.cn站中一子域op.easypass.cn
谷歌搜索之得出信息不多。gouxue百度后
均可直接访问
每个系统进到权限那块均可做相应操作
漏洞证明:
内部组织架构
爬完目录有一上传点,不才无果。心想酱纸的系统注入应该有...
果然
得知当前链接OperationSystem库,既然有组织架构就count一下员工数
各员工信息
此库露出去不管是社工还是撞库还是挖墙脚....想想都不好意思了啊~
对了,做内控的话权限这块儿必须得维护到位哇,不然一个转身就被内人钻空子,虽不可避免但要控制到最小。
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-03-30 14:26
厂商回复:
非常感谢给易车帮助,我们尽快处理,谢谢
最新状态:
2015-03-30:已经修复,非常感谢对易车的支持