当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137676

漏洞标题:微盟某重要平台弱口令导致大量内部和客户信息泄露

相关厂商:weimob.com

漏洞作者: CF_tan

提交时间:2015-08-28 22:10

修复时间:2015-10-15 14:14

公开时间:2015-10-15 14:14

漏洞类型:服务弱口令

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-28: 细节已通知厂商并且等待厂商处理中
2015-08-31: 厂商已经确认,细节仅向厂商公开
2015-09-10: 细节向核心白帽子及相关领域专家公开
2015-09-20: 细节向普通白帽子公开
2015-09-30: 细节向实习白帽子公开
2015-10-15: 细节向公众公开

简要描述:

由微盟一工作平台弱口令导致的大量敏感信息泄露

详细说明:

前一段时间,我听朋友说微盟的通用账号比较普遍,所以今天就想了解下到底通用到什么样的地步。
首先找到了它的wiki文档发布平台,在http://bable.weimob.com/上各种传jsp文件都不被执行,紧接着在http://bable.weimob.com/pages/viewpage.action?pageId=4587846找到了一些有意思的信息。

a.png


需要一个内部邮箱,正好上面有发布人的联系地址

b.png


现在用junwei.huang@weimob.com/a123456登陆http://ticket.weimob.com/平台,成功登陆,而且使管理员权限

c.jpg


在此平台内看到公司的组织架构和人员、联系方式,而且在工单系统系统中找到内部员工大量掌握的客户登陆信息

d.png


e.png


f.png


用对应的账号可以登陆微盟平台http://www.weimob.com/ 如下

g.png


里面还有好多账号,自行查找,都可以登陆,还可以用这些账号登陆它的bbs系统
http://bbs.weimob.com/,可自行登陆

漏洞证明:

修复方案:

弱口令什么的,不能要

版权声明:转载请注明来源 CF_tan@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-31 14:12

厂商回复:

感谢你对系统提出宝贵意见,漏洞已修复

最新状态:

暂无