当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165450

漏洞标题:博世集团某漏洞导致泄露7千多家汽车经销商和100万左右购买volvo轿车车主信息

相关厂商:博世集团

漏洞作者: wudu

提交时间:2015-12-29 15:44

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:命令执行

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-29: 细节已通知厂商并且等待厂商处理中
2016-01-05: 厂商已经确认,细节仅向厂商公开
2016-01-15: 细节向核心白帽子及相关领域专家公开
2016-01-25: 细节向普通白帽子公开
2016-02-04: 细节向实习白帽子公开
2016-02-12: 细节向公众公开

简要描述:

博世是德国最大的工业企业之一,从事汽车技术、工业技术和消费品及建筑技术的产业。博世集团于 1909 年在中国开设了第一家贸易办事处, 1926 年在上海创建首家汽车售后服务车间。
公司某网站平台漏洞导致泄露大量信息。

详细说明:

公司旗下网站博世易加积分兑换平台http://**.**.**.**/index/index.action由于struts2漏洞,导致网站getshell。
由于网站权限控制比较严格,部分文件目录没有权限创建文件,最后在images目录下上传了大马

file.jpg


查看所有表信息,其中客户信息有7964条,里面包含了中国东南西北几乎所有城市的汽车经销商信息。

tables.png


另外一个叫volvo数据库:

100w.png


里面多个表共包含上百万左右购买volvo轿车的车主姓名,家庭地址,电话等信息,还有数十万意向购买或试乘volvo轿车的车主信息,下面看其中一个40多万记录的表:

tiche.png


查看各个表信息,包括全国各地汽车经销商联系方式和礼品和公司工作人员等等信息,包括:

custom.jpg


order.png


user.png


登录一个企业邮箱:

mail.jpg

漏洞证明:

已证明

修复方案:

升级jar包

版权声明:转载请注明来源 wudu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-01-05 18:18

厂商回复:

CNVD确认所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态:

暂无