当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140391

漏洞标题:美的某社区平台存在大量弱口令

相关厂商:midea.com.cn

漏洞作者: 指尖上的故事

提交时间:2015-09-11 10:32

修复时间:2015-10-26 11:02

公开时间:2015-10-26 11:02

漏洞类型:基础设施弱口令

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

美的....这个占有我家70%电器的品牌..

详细说明:

http://sns.midea.com 美的人自己的社区(真心漂亮的登录页面)
http://idea.midea.com 创新平台(属于wap网页)
大概对midea.com旗下网站测试发现了一个很有规律的事...很多管理默认用户和密码是:(admin 000000)管理员可去问一下你们的网维
而已很多工作人员的默认密码居然是:(0)
首先说说这个社区..登录界面好美..貌似用户活跃率不高.随便爆破了一下发现密码全是0 登录一个用户后,来到找人这个功能模块下.随便找一个用户,把用户名转成拼音密码0 又能登录...(管理自行验证一下去吧)

漏洞证明:

http://sns.midea.com

截图:(我是随意抽取的用户登录..管理员可按下图用户和密码验证一下)

0.png

00.png

000.png


成功截图:

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

10.png

11.png

12.png


http://idea.midea.com

截图如下:

aa.jpg

bb.png

cc.png


修复方案:

版权声明:转载请注明来源 指尖上的故事@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-09-11 11:01

厂商回复:

感谢热心的白帽子 指尖上的故事@乌云 的监督!我们赶紧打管理员的屁股去。

最新状态:

暂无