漏洞概要
关注数(24)
关注此漏洞
漏洞标题:上海公交集团从目录遍历到控制4个内部系统35822员工信息
提交时间:2015-08-21 12:01
修复时间:2015-10-05 19:48
公开时间:2015-10-05 19:48
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-31: 细节向核心白帽子及相关领域专家公开
2015-09-10: 细节向普通白帽子公开
2015-09-20: 细节向实习白帽子公开
2015-10-05: 细节向公众公开
简要描述:
关注安全,关注基础设施(上次提交一部分漏洞的时候被审核猿无情拒绝,好吧,上海所有公交车旗下包括巴士一汽到六汽、宝山巴士、巴士电车、巴士新新、崇明巴士、金山巴士...,还说危害小且联系不到厂商),其实当时是因为系统不同,想连续来几发的,差点就打消了热情。
详细说明:
信息量太大,就不继续截图。(仅浏览,未做任何破坏)
漏洞证明:
修复方案:
总结一下同一站上主要有如下四个大系统(人事..等系统不算在内):
由此不难看出安全性太低,只能说全面加强安全建设,不是仅靠几个集成第三方就能做好的
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-08-21 19:47
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置。
最新状态:
暂无