当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0194221

漏洞标题:泛华保网某运维系统未授权访问可任意操作/43万记录/部分是保单(车辆详细信息/被保人姓名身份证)

相关厂商:泛华保险服务集团

漏洞作者: 路人甲

提交时间:2016-04-09 12:18

修复时间:2016-05-26 14:40

公开时间:2016-05-26 14:40

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-09: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已经确认,细节仅向厂商公开
2016-04-21: 细节向核心白帽子及相关领域专家公开
2016-05-01: 细节向普通白帽子公开
2016-05-11: 细节向实习白帽子公开
2016-05-26: 细节向公众公开

简要描述:

泛华保网某运维系统未授权访问可任意操作,43万记录,部分是保单()

详细说明:

主站 http://203.195.162.226:8080/
http://203.195.162.226:8080/logRecord/show/5105339
<AgtCde>620369743</AgtCde> <Org> <FullNm>河北泛联保险代理有限公司</FullNm>
http://www.cninsure.net/News/NewsInfo.aspx?ID=8162 河北泛联保险代理有限公司是泛华集团的
日志列表 http://203.195.162.226:8080/logRecord/list
INSPOLICY_UPLOAD_SUCCESS 这类的都是保单详情,车辆详细信息,被保人姓名身份证都可以看到
http://203.195.162.226:8080/logRecord/show/5105339
http://203.195.162.226:8080/logRecord/show/5105340
http://203.195.162.226:8080/logRecord/show/5105341
<PlateNum>冀F255HB</PlateNum>
<FrameNum>LGWEE2K57DE039289</FrameNum>
<EngineNum>1303019190</EngineNum>
<VIN>LGWEE2K57DE039289</VIN>
<VehicleType>腾翼C30 长城CC7150CE0C轿车</VehicleType>

<FullNm>杨克跃</FullNm>
</Person>
<Reg>
<RegTyp>01</RegTyp>
<IDStr>130632198501214816</IDStr>

漏洞证明:


xxx1.JPG


xxx2.JPG


xxx.JPG


修复方案:

rt

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-04-11 14:32

厂商回复:

非常感谢!

最新状态:

暂无