当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093673

漏洞标题:民政部烈士褒扬管理信息系统存在漏洞

相关厂商:民政部

漏洞作者: by:小雨

提交时间:2015-01-26 12:28

修复时间:2015-03-12 12:30

公开时间:2015-03-12 12:30

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经确认,细节仅向厂商公开
2015-02-08: 细节向核心白帽子及相关领域专家公开
2015-02-18: 细节向普通白帽子公开
2015-02-28: 细节向实习白帽子公开
2015-03-12: 细节向公众公开

简要描述:

北京地区用户资料出现

详细说明:

http://lsxx.mca.gov.cn:9919/res/
目录
http://lsxx.mca.gov.cn:9919/res/北京培训资料.rar
登陆系统http://lsxx.mca.gov.cn:9918/loginok.jsp?lg=2
北京地区的账号密码
其实的地区好像都有密码 我还没有破解出来
没有办法啊 电脑不怎么给力

7R73~K{OXO2XF6%DC_QE4TH.png

_D4M9WM@OXDP1CP}@F63{4Y.png

H7]GJMG}IC{N~XEZ7Q_DDZW.png

J$]A2PP18E6GLXRU2SP_2UG.png

漏洞证明:

2013年8月9日 15:37 2171392 install_lodop32.exe 2013年8月27日 15:44 2127042 install_lodop32.rar 2013年8月9日 15:37 2318848 install_lodop64.exe 2013年8月27日 15:44 2264542 install_lodop64.rar 2013年10月22日 15:41 10268405 LSZS_Print.rar 2011年4月21日 9:48 56755096 PDF文件察看软件 AdbeRdr1000_zh_CN.exe 2013年10月15日 13:13 7782 上海市.zip 2013年10月15日 13:15 12700 云南省.zip 2013年10月10日 16:41 283648 优抚事业单位规格说明.doc 2013年10月15日 13:12 11445 内蒙古自治区.zip 2013年10月29日 11:45 10929752 北京培训资料.rar 2013年10月15日 13:08 7654 北京市.zip 2013年10月15日 13:11 10203 吉林省.zip 2013年10月15日 13:14 14891 四川省.zip 2013年10月15日 13:14 7847 天津市.zip 2013年10月15日 13:12 8175 宁夏回族自治区.zip 2013年10月15日 13:07 11429 安徽省.zip 2013年10月15日 13:13 14088 山东省.zip 2013年10月15日 13:13 11951 山西省.zip 2013年10月15日 13:09 13045 广东省.zip 2013年10月15日 13:09 11755 广西壮族自治区.zip 2013年10月15日 13:14 7670 新疆生产建设兵团.zip 2013年10月15日 13:14 11044 新疆维吾尔自治区.zip 2013年10月15日 13:11 11882 江苏省.zip 2013年10月15日 13:11 10893 江西省.zip 2013年10月15日 13:10 15117 河北省.zip 2013年10月15日 13:10 13694 河南省.zip 2013年10月15日 13:15 10889 浙江省.zip 2013年10月15日 13:10 8118 海南省.zip 2013年10月15日 13:10 11623 湖北省.zip 2013年10月15日 13:11 12339 湖南省.zip 2013年10月14日 12:45 3423150 烈士褒扬管理信息系统使用说明书.pdf 2013年9月3日 9:59 4345344 烈士褒扬管理信息系统使用说明书12.doc 2013年10月14日 12:42 4649984 烈士褒扬管理信息系统使用说明书20131014.doc 2013年10月16日 9:48 14312122 烈士褒扬管理信息系统培训资料.rar 2013年10月23日 10:20 221696 烈士褒扬管理信息系统数据导入说明.doc 2013年9月2日 12:02 4179456 烈士证书-20130826.ppt 2013年11月5日 17:02 5458034 烈士证书_桌面式RFID读卡器.rar 2013年9月2日 16:19 2691584 烈士证书会议资料.doc 2013年9月2日 16:20 1950784 烈士证书会议资料.pdf 2013年9月3日 10:39 5278627 烈士证书会议资料.rar 2013年9月3日 10:38 2389759 烈士证书培训资料PPT.pdf 2013年10月15日 13:09 10860 甘肃省.zip 2013年10月15日 13:08 10617 福建省.zip 2013年10月22日 18:08 73728 纪念设施迁移(新增需求)操作说明.doc 2014年4月21日 10:53 5796528 芯片录入驱动_bullzippdfprinter.rar 2013年8月27日 16:34 10503061 虚拟打印机驱动_bullzippdfprinter.zip 2013年10月15日 13:14 9804 西藏自治区.zip 2013年10月15日 13:09 10699 贵州省.zip 2013年10月15日 13:12 11206 辽宁省.zip 2013年10月15日 13:15 8627 重庆市.zip 2013年10月15日 13:13 11309 陕西省.zip 2013年9月5日 15:29 18216646 陵园建设资料.rar 2013年10月15日 13:13 9149 青海省.zip 2013年10月15日 13:10 13014 黑龙江省.zip

修复方案:

版权声明:转载请注明来源 by:小雨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-29 10:50

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向民政部通报。

最新状态:

暂无