当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120482

漏洞标题:浙江广播电视集团内部员工信息泄露外加一问题

相关厂商:浙江广播电视集团

漏洞作者: geegirl

提交时间:2015-06-18 11:49

修复时间:2015-08-02 11:50

公开时间:2015-08-02 11:50

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

信息泄露

详细说明:

邮件系统弱口令 http://mail.cztv.com test test不解释

1.png


好多员工信息,不知道能找到俞杭英的联系方式不。。。

2.png


其实完全可以固定密码跑员工账号弱口令,进一步渗透,只是我被另一个问题吸引住了(可能有某个阴谋)
处于好奇我随便点开了一个邮件发现是英文的,

3.png


好吧,再打开个还是英文,好像还都是退订邮件,翻译下吧,结果整个人都不好了

4.png


我靠FBI这什么情况,有很多这种邮件,不过很多都是重复的,其中有一个提到了用联邦快递寄了个包裹,还给了快递号,于是就查了查,居然是真的,
快递号395659915113418
快递号797524131428

5.png


还有一份邮件包含Do
you wannar sex的语句,不知道发生了什么,这里也不截图,不过在一封类似邮件中发现了一些目标地址

michaelbagleyjr1@gmail.com,michaelbarauna@oi.com.br,michaelbelfer7@gmail.com,michaelbell_11@hotmail.com,michaelbenowitz@earthlink.net,michaelberst1987@gmail.com,michaelblock50@gmail.com,michaelboramjr@gmail.com,michaelbranham51@yahoo.com,michaelbrent35@gmail.com,michaelcandela8443@gmail.com,michaelcarrone@katamail.com,michaelcole736@gmail.com,michaelcrawford76@aol.com,michaelcwinstead@yahoo.com,michaeld1@cellc.blackberry.com,michaeldecker98@gmail.com,michaeldehond@gmail.com,michaeldeleo814@gmail.com,michaeldreadldn@googlemail.com,michaelfaucette@gmail.com,michaelfgallagher@gmail.com,michaelflotte@gmail.com,michaelgarver8@gmail.com,michaelgetsch@gmail.com,revnicholasmith@hotmail.com,michaelhink@yahoo.com,michaelhonea2@gmail.com,michaelhudson2008@gmail.com,michaeliantobias@gmail.com,michaelj2341@yahoo.com,michaelj315@yahoo.com,michaeljames92@gmail.com,michaeljames@ig.com.br,michaeljasper35@yahoo.com,michaeljfiorito@dslextreme.com,michaeljohannes7@gmail.com,michaeljohnmetcalfe@gmail.com,michaeljones48098@gmail.com,emmaodera2008@yahoo.com,michaeljwhiting@aol.com,michaelkateregga1@gmail.com,michaelkirika@gmail.com,michaelkoehler38@yahoo.com,michaellabrada1@gmail.com,michaelleenance@gmail.com,michaelllwooddd@yahoo.com,michaellusk69@gmail.com,michaelmarks69@gmail.com,michaelmay1249@gmail.com


就这么多了,希望都只是假的把.
尽管很想装逼,但这次还是匿了吧,

漏洞证明:

我靠FBI这什么情况,有很多这种邮件,不过很多都是重复的,其中有一个提到了用联邦快递寄了个包裹,还给了快递号,于是就查了查,居然是真的,不截图了,自己看吧,还有一份邮件包含Do
you wannar sex的语句,不知道发生了什么,这里也不截图,不过在一封类似邮件中发现了一些目标地址

michaelbagleyjr1@gmail.com,michaelbarauna@oi.com.br,michaelbelfer7@gmail.com,michaelbell_11@hotmail.com,michaelbenowitz@earthlink.net,michaelberst1987@gmail.com,michaelblock50@gmail.com,michaelboramjr@gmail.com,michaelbranham51@yahoo.com,michaelbrent35@gmail.com,michaelcandela8443@gmail.com,michaelcarrone@katamail.com,michaelcole736@gmail.com,michaelcrawford76@aol.com,michaelcwinstead@yahoo.com,michaeld1@cellc.blackberry.com,michaeldecker98@gmail.com,michaeldehond@gmail.com,michaeldeleo814@gmail.com,michaeldreadldn@googlemail.com,michaelfaucette@gmail.com,michaelfgallagher@gmail.com,michaelflotte@gmail.com,michaelgarver8@gmail.com,michaelgetsch@gmail.com,revnicholasmith@hotmail.com,michaelhink@yahoo.com,michaelhonea2@gmail.com,michaelhudson2008@gmail.com,michaeliantobias@gmail.com,michaelj2341@yahoo.com,michaelj315@yahoo.com,michaeljames92@gmail.com,michaeljames@ig.com.br,michaeljasper35@yahoo.com,michaeljfiorito@dslextreme.com,michaeljohannes7@gmail.com,michaeljohnmetcalfe@gmail.com,michaeljones48098@gmail.com,emmaodera2008@yahoo.com,michaeljwhiting@aol.com,michaelkateregga1@gmail.com,michaelkirika@gmail.com,michaelkoehler38@yahoo.com,michaellabrada1@gmail.com,michaelleenance@gmail.com,michaelllwooddd@yahoo.com,michaellusk69@gmail.com,michaelmarks69@gmail.com,michaelmay1249@gmail.com


就这么多了,
希望这都是假的把
希望这都是假的把
希望这都是假的把
希望这都是假的把

修复方案:

改密码

版权声明:转载请注明来源 geegirl@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝