当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138882

漏洞标题:上海安吉星视频会议系统未授权访问

相关厂商:上海安吉星信息服务有限公司

漏洞作者: Ysql404

提交时间:2015-09-03 22:29

修复时间:2015-10-18 22:30

公开时间:2015-10-18 22:30

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

2007年12月2号,通用汽车、上汽集团和上海通用汽车宣布将合资建立上海安吉星信息服务有限公司,这是通用汽车北美市场之外的首家OnStar信息服务业务机构。

详细说明:

https://onstar.com.cn/ 该系统未授权访问
默认情况下用户名为admin,密码为该产品的序列号,但为了访问方便,则不会设置密码,导致未授权访问,敏感信息泄漏、可重启系统、修改系统配置;

QQ图片20150903214753.png


QQ图片20150903214930.png


QQ图片20150903215141.png


QQ图片20150903215228.png

漏洞证明:

QQ图片20150903215354.png


QQ图片20150903215523.jpg


QQ图片20150903220225.png

修复方案:

启用密码登录并修改默认密码;

版权声明:转载请注明来源 Ysql404@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)