漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0129436
漏洞标题:海西天成网络TCMS政务版存在多处未授权访问
相关厂商:cncert国家互联网应急中心
漏洞作者: Aaron
提交时间:2015-07-31 13:59
修复时间:2015-09-18 17:46
公开时间:2015-09-18 17:46
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-08-04: 厂商已经确认,细节仅向厂商公开
2015-08-14: 细节向核心白帽子及相关领域专家公开
2015-08-24: 细节向普通白帽子公开
2015-09-03: 细节向实习白帽子公开
2015-09-18: 细节向公众公开
简要描述:
未设置访问权限导致
详细说明:
这两天看见乌云的奖励计划,拿个本土的CMS,练练手,期待有奖励。
福建海西天成网络有限公司独立自主开发的网站内容管理系统(TCMS);该套系统目前主要针对企业,集团,地产公司网站的特点进行定向开发,目前企业集团网站应用所需的全部功能需求,系统界面设计方便简洁,倡导“安全,绿色,新型”的理念,实施中“统一规划实施,统一标准规范,统一网络平台,统一安全管理”的基本原则,协助各个企业向“服务平台化,站点集群化”的特点发展,可扩展性可以满足不同企业信息整合及二次扩展应用需求。
不少政府网站都采用了这套CMS,
WooYun: 某通用建站程序存在SQL注入漏洞
WooYun: 某政务系统sql注入漏洞(影响省级部门网站和全省人防网站)
TCMS目前最新版已经修复了此前爆出的漏洞,却没有设置访问权限,导致未授权访问。
下面以两个采用新版TCMS的网站看看,未授权访问,其他采用最新版TCMS政务版的网站也都存在这样的问题,这里不在诉说。。。
www.fjyd.gov.cn
www.wys.gov.cn
后台地址: http://www.fjyd.gov.cn/manage/login.aspx
照理说manage目录下是访问不了,却在这个目录下发现可以访问的目录。
漏洞证明:
manage目录下的tj可以直接访问,是一个计数器。可直接更改计数器样式,计数器样式显示在首页。
可以查看访问下的IP/访问路径/操作系统/浏览器
可以查看用户的具体输入操作
修复方案:
设置访问权限
版权声明:转载请注明来源 Aaron@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-08-04 17:44
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给福建分中心,由福建分中心后续协调网站管理单位处置。
最新状态:
暂无