当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136631

漏洞标题:河北省某电子药品系统漏洞导致大量药品信息泄露(含医师照片,大量身份证)

相关厂商:某电子药品系统

漏洞作者: 0x 80

提交时间:2015-08-26 22:02

修复时间:2015-10-13 10:14

公开时间:2015-10-13 10:14

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-29: 厂商已经确认,细节仅向厂商公开
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

某电子药品系统漏洞导致大量药品信息泄露(含医师照片,大量身份证)

详细说明:

http://**.**.**.**:1300/
test 123456

66.png


7452.png


45.png


姓名	执业单位	性别	身份证号	医师级别	执业类别	执业证书号	操作
薛守智	河北狮城百姓大药房连锁有限公司	男	132903194901186912	执业医师	临床	110130000000596	详细 | 修改 | 指纹1 | 指纹2 | 删除
王锡连	沧州迎宾大药房连锁有限公司	男	132928195307040015	中级	临床	110130927000157	详细 | 修改 | 指纹1 | 指纹2 | 删除
刘丙云	沧州百姓恒康药品连锁有限公司	女	132931195504280024	执业医师	临床	110130900001194	详细 | 修改 | 指纹1 | 指纹2 | 删除
王金发	沧州百姓恒康药品连锁有限公司	男	132931194809070031	执业医师	临床	110130900005046	详细 | 修改 | 指纹1 | 指纹2 | 删除
刘春英	沧州康盛医药连锁有限公司	女	132903195401110924	初级	临床	0147696	详细 | 修改 | 指纹1 | 指纹2 | 删除
信德伟	沧州诚信医药连锁有限公司	男	130921198409092817	执业医师	口腔	201213120130921198409092817	详细 | 修改 | 指纹1 | 指纹2 | 删除
武文轩	沧州迎宾大药房连锁有限公司	男	132928194509130030	中医	无	913001	详细 | 修改 | 指纹1 | 指纹2 | 删除
王金忠	沧州诚信医药连锁有限公司	男	130921197401201017	执业医师	中医	1201017	详细 | 修改 | 指纹1 | 指纹2 | 删除
1231	石家庄测试联锁药店	男	1231102156385012	12	2	123	详细 | 修改 | 指纹1 | 指纹2 | 删除
刘医生	石家庄测试联锁药店	女	130124198804170050	随便	随便	1564321	详细 | 修改 | 指纹1 | 指纹2 | 删除
xyc	石家庄测试联锁药店	男	130434199203135636	a	hhh	123654789	详细 | 修改 | 指纹1 | 指纹2 | 删除
sf	石家庄测试联锁药店	男	13115161	sdf	sdfsdf	sdf	详细 | 修改 | 指纹1 | 指纹2 | 删除
c	石家庄测试联锁药店	男	45645	456	45	456	详细 | 修改 | 指纹1 | 指纹2 | 删除
王田霞	沧州新兴药房连锁有限公司	女	130125198508286520	执业助理医师	临床	210130902000211	详细 | 修改 | 指纹1 | 指纹2 | 删除
吴俊玲	沧州新兴药房连锁有限公司	女	130903198509070620	助理医师	中医	242130900000106


845.png


漏洞证明:

67.png


http://**.**.**.**:1300/

修复方案:

版权声明:转载请注明来源 0x 80@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-29 10:14

厂商回复:

CNVD确认并复现所述情况,转由CNCERT下发给河北分中心,由其后续协调网站管理单位处置.

最新状态:

暂无