当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146727

漏洞标题:p2p之中融民信账户体系控制不严已登陆OA/邮件系统可导致大量内部信息泄漏

相关厂商:民信集团

漏洞作者: Looke

提交时间:2015-10-14 16:53

修复时间:2015-11-28 16:54

公开时间:2015-11-28 16:54

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

民信公司成立于2012年,总部位于北京,是一家集财富管理、互联网金融、借款服务等业务于一体的综合性现代化金融服务集团。
民信公司作为最早一批金融服务企业,业务涉及:财富管理咨询与服务、信用风险评估与管理、数据整合服务、小微借款咨询服务、风险控制与管理、P2P借贷服务等领域。目前已在北京、上海、南京、厦门、洛阳等70多个城市设立了130多家分支机构,员工达8000多人。
民信公司2012年1月在北京金融街成立后,先后创立了六大公司,分别是民信阿里信息咨询(北京)有限公司、中标民信征信(北京)有限公司、中富民信金融信息服务(上海)有限公司、中富民信(北京)投资管理有限公司、民信幸福投资基金管理(北京)有限公司、西藏天獒投资管理有限公司。

详细说明:

问题系统:oa系统

oa.minxinjituan.com


1.png


wangjun|123456

2.png

漏洞证明:

大量合同信息

合同信息.png


大量内部敏感信息

大量内部信息.png


111.png


包括总裁在内所有员工的通讯录:

所有通讯录.png

修复方案:

建议好好排查下弱口令

版权声明:转载请注明来源 Looke@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)