当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195664

漏洞标题:雷沃重工CRM暴力破解泄露合同金额信息

相关厂商:雷沃重工

漏洞作者: gentoofly

提交时间:2016-04-13 09:08

修复时间:2016-05-28 09:10

公开时间:2016-05-28 09:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:16

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

雷沃重工股份有限公司(简称雷沃重工)是一家以农业装备、工程机械、车辆、核心零部件、金融为主体业务的大型产业装备制造企业,公司成立于1998年,现有资产161亿元,员工1.6万人。公司成立17年来,累计产销各类机械600余万台,是目前国内最大的农业装备制造企业,成长最快的工程机械制造企业。 2015年雷沃重工凭借在“内涵增长、结构调整、全球化”方面的卓越表现,品牌价值再创新高,达到335.56亿元,位列中国五百最具价值品牌榜第76位。

详细说明:

雷沃重工使用的是微软的CRM,说实话,我还是第一次见到微软的CRM, 用户登录存在暴力破解,使用密码123456破解了好几个用户,选一个用户进去一看,信息量还挺大
之前提交了几个漏洞,说是影响太小不给通过,这个漏洞影响应该不小吧

801.png


802.png


803.png


804.png


805.png

漏洞证明:

801.png


802.png


803.png


804.png


805.png

修复方案:

在用户登录处加入验证码,限制一个IP 地址的连续错误次数,培训员工信息安全意识,修改弱口令

版权声明:转载请注明来源 gentoofly@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)