漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0137676
漏洞标题:微盟某重要平台弱口令导致大量内部和客户信息泄露
相关厂商:weimob.com
漏洞作者: CF_tan
提交时间:2015-08-28 22:10
修复时间:2015-10-15 14:14
公开时间:2015-10-15 14:14
漏洞类型:服务弱口令
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-28: 细节已通知厂商并且等待厂商处理中
2015-08-31: 厂商已经确认,细节仅向厂商公开
2015-09-10: 细节向核心白帽子及相关领域专家公开
2015-09-20: 细节向普通白帽子公开
2015-09-30: 细节向实习白帽子公开
2015-10-15: 细节向公众公开
简要描述:
由微盟一工作平台弱口令导致的大量敏感信息泄露
详细说明:
前一段时间,我听朋友说微盟的通用账号比较普遍,所以今天就想了解下到底通用到什么样的地步。
首先找到了它的wiki文档发布平台,在http://bable.weimob.com/上各种传jsp文件都不被执行,紧接着在http://bable.weimob.com/pages/viewpage.action?pageId=4587846找到了一些有意思的信息。
需要一个内部邮箱,正好上面有发布人的联系地址
现在用junwei.huang@weimob.com/a123456登陆http://ticket.weimob.com/平台,成功登陆,而且使管理员权限
在此平台内看到公司的组织架构和人员、联系方式,而且在工单系统系统中找到内部员工大量掌握的客户登陆信息
用对应的账号可以登陆微盟平台http://www.weimob.com/ 如下
里面还有好多账号,自行查找,都可以登陆,还可以用这些账号登陆它的bbs系统
http://bbs.weimob.com/,可自行登陆
漏洞证明:
修复方案:
弱口令什么的,不能要
版权声明:转载请注明来源 CF_tan@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-08-31 14:12
厂商回复:
感谢你对系统提出宝贵意见,漏洞已修复
最新状态:
暂无