当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099444

漏洞标题:中国投资咨询有限责任公司重要敏感信息泄露(直入后台)

相关厂商:中国投资咨询有限责任公司

漏洞作者: 听风的歌

提交时间:2015-03-04 18:24

修复时间:2015-04-18 18:26

公开时间:2015-04-18 18:26

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中国投资咨询有限责任公司重要敏感信息泄露,可操作数据库,可以更改网站内容。

详细说明:

中国投资咨询有限责任公司是中国建银投资有限责任公司的全资子公司,于1986年3月经国务院批准设立,是我国最早设立的,为投融资活动提供全方位、一体化咨询和资管服务的国有大型投资咨询公司。
公司成立之初,即承担了中国投资体制改革的使命,为国家主导的大型投资项目提供投资决策、经济可行性研究和咨询服务。公司在发展过程中得到国家发改委、财政部、建设部、人民银行等政府有关部门的长期支持和关怀,与国内著名的研究机构和大学建立了长期合作关系,在国内投资界和金融界积累了深厚的人脉和业务资源。
历经二十余年的发展,公司已形成咨询与资产管理等核心业务单元,以提供专业的综合解决方案为优势,全方位成就客户价值。
公司以打造最具影响力和竞争力的国有投资咨询机构为己任,以国际化的水准塑造服务品质,致力于成为政府、机构投资者和大中型企业客户最值得信赖的投资者、咨询顾问和合作伙伴,服务客户涵盖金融、房地产、环保、通信、能源、信息技术、商务服务等二十多个行业和产业。

漏洞证明:

1.源代码可以下载

4.jpg


2.数据库连接密码

5.jpg


3.可管理数据库

6.jpg


4.后台管理员权限

11.jpg

修复方案:

你懂的

版权声明:转载请注明来源 听风的歌@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝