当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134401

漏洞标题:汇源果汁一处设计不当海量信息泄露/定位员工来回轨迹可查看员工照片(数据天天更新)

相关厂商:汇源果汁集团

漏洞作者: 小龙

提交时间:2015-08-16 16:38

修复时间:2015-09-30 16:40

公开时间:2015-09-30 16:40

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

汇源果汁是由中国汇源果汁集团生产的一系列果汁产品,“汇源果汁”是中国果汁行业第一品牌。1996年刘先银撰文提出“山区绿化,农民致富,国家创汇”的发展战略。据AC尼尔森2014年的最新数据,按销量计算,汇源果汁是中国最大的百分百果汁和中浓度果蔬汁生产商,市场份额分别达到56.5%及42.7%,处于行业领先地位。[1]
汇源果汁经过20余年的市场培育,逐渐改变了人们的饮料消费习惯,使果汁越来越成为追求健康人群的喜爱。

详细说明:

汇源果汁.png


QQ截图20150815231528.png


这系统的照片ID达到了

QQ截图20150815231904.png


漏洞证明:

http://mvs.huiyuan.com.cn/HuiYuan/default.aspx
lijie,wangping,liufang,wangna,zhangbin,zhaowei,zhaoli,zhoujie,sunwei密码均为111


人员ID
登入账号
人员姓名
性别
组织架构
所属管理员
用户角色
职位
考核状态
销售代表类型
用户分销列表
电话
身份证
用户状态
账号状态
操作
 
926086 15180001010 刘佳 女 敖汉旗营业所 刘林生 营业所运作专员 综合业代 正常考核 综合 用户分销列表 15180001010 150430198501012149 √  √    资产异动查询 
914052 13000001239 利津营业所经销商管理 男 利津营业所 利津营业所经销商管理 营业所运作专员 客户经理 正常考核 市场检查/协访 用户分销列表 13000001239 370000000000001239 √  √    资产异动查询 
299430 18010386483 邱盅旗 男 朝阳区域 邱盅旗 营业所运作专员 客户经理 正常考核 综合 用户分销列表 18010386483 21142219890225121X √  √    资产异动查询 
610727 18604008176 杜凯 男 辽宁中石化 杜凯 营业所运作专员 区域经理 正常考核 市场检查/协访 用户分销列表 18604008176 210103197003203010 √  √    资产异动查询 
620573 15971210090 王洪军 男 儿童事业部湖北、湖南区 王洪军 营业所运作专员 区域总监 试用期 批发 用户分销列表 15971210090 37282819751029181X √  √    资产异动查询 
918092 18010389553 邓丽亮 女 仙桃营业所 陈权 营业所运作专员 推广经理(专员) 正常考核 市场检查/协访 用户分销列表 18010389553 429004198409091904 √  √    资产异动查询 
915321 18608333689 周小琳 女 乐山营业所 代志富 营业所运作专员 推广经理(专员) 试用期 市场检查/协访 用户分销列表 18608333689 511132198909092626 √  √    资产异动查询 
898416 15096979904 李小芝 女 云南项目部 李小芝 营业所运作专员 理货员 试用期 市场检查/协访 用户分销列表 15096979904 532924198702130742 √  √    资产异动查询 
933936 qincuhua 覃翠华 女 广西中石化 吕杰 营业所运作专员 促销员 正常考核 综合 用户分销列表 15277053392 450122198810261522 √  √    资产异动查询 
934636 0775zxm 张献梅 女 广西中石化 牟崇胜 营业所运作专员 促销员 试用期 直销 用户分销列表 18078548292 450902198606016560 √  √    资产异动查询 
934741 15912406964 李丽萍 女 云南中石化 云南中石化 营业所运作专员 促销员 试用期 综合 用户分销列表 15912406964 530111197810135020 √  √    资产异动查询 
934106 15189222602 吴二磊 女 江苏中石化 江苏中石化 营业所运作专员 促销员 试用期 特通 用户分销列表 15189222602 32092119771202202X √  √    资产异动查询 
932783 15511082834 白卫华 女 河北中石化 白文玲 营业所运作专员 促销员 试用期 特通 用户分销列表 15511082834 132133197910190065 √  √    资产异动查询 
931845 13613645492 王春荣 女 黑龙江中石化   营业所运作专员 促销员 试用期 特通 用户分销列表 13613645492 232331196802050863 √  √    资产异动查询 
932781 15630360684 武竞月 男 河北中石化 白文玲 营业所运作专员 促销员 试用期 特通 用户分销列表 15630360684 130424199306202012 √  √    资产异动查询 
932352 15195391087 侯玲玲 女 江苏中石化 江苏中石化 营业所运作专员 促销员 试用期 特通 用户分销列表 15195391087 320821199605053502 √  √    资产异动查询 
928855 13582938596 朱学红 女 河北中石化 刘君 营业所运作专员 促销员 试用期 特通 用户分销列表 13582938596 130221197707061127 √  √    资产异动查询 
929895 13734129712 陈军平 女 山西中石化 陈军平 营业所运作专员 促销员 试用期 特通 用户分销列表 13734129712 142601197405092868 √  √    资产异动查询 
916943 1380198685 张彩红 女 上海公司商超二部 张彩红 营业所运作专员 促销员 试用期 商超 用户分销列表 13801986852 342222197307083287 √  √    资产异动查询 
919004 182219121 徐辉 女 上海公司商超二部 徐辉 营业所运作专员 促销员 试用期 商超 用户分销列表 18221912150 310114198003010048 √  √    资产异动查询 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ... 尾页


这应该可以证明数量了吧,登入账号都有了。。。
并且这个 zhoujie的权限好大,管理员的账号都可以查看
包括管理员的身份证,手机号码泄露。。
可重置全站用户密码

QQ截图20150815234454.png


QQ截图20150815234503.png


QQ截图20150815234525.png


QQ截图20150815234535.png


成功修改

修复方案:

修改密码

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)