当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016304

漏洞标题:湖北电信对外合作的各公司机构资质原件扫描和删除

相关厂商:湖北电信

漏洞作者: invader

提交时间:2012-12-21 10:55

修复时间:2013-02-04 10:56

公开时间:2013-02-04 10:56

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-21: 细节已通知厂商并且等待厂商处理中
2012-12-21: 厂商已经确认,细节仅向厂商公开
2012-12-31: 细节向核心白帽子及相关领域专家公开
2013-01-10: 细节向普通白帽子公开
2013-01-20: 细节向实习白帽子公开
2013-02-04: 细节向公众公开

简要描述:

营业执照,税务执照,银行开户许可证,专项许可证等等可供人随意下载和删除,一旦这些信息被人利用,各种信息诈骗案件估计会层出不穷,严重危害社会安全等等;

详细说明:

数据库读写权限不合理且无任何安全访问和访问控制;
document.location.href="http://www.hbspoa.com:80/file/zwzwdel-File.shtml?para.qualifications_id="+annex_code.value+"&para.company_code="+company_code.value;
文件访问权限设置不合理;

漏洞证明:

页面:http://www.hbspoa.com/file/zwselFile.shtml;jsessionid=497BA7B4D30C67C48362028A555A849E?para.company_code=&para.res=6

.png


原始文档扫描件可随便下载:这里贴一个

.jpg


修复方案:

此页面的访问权限应为至少为Editor级别,一般默认设置为管理员级,而并非public;新建静态页面,输出此页面的纯文本内容可作为公开内容。

版权声明:转载请注明来源 invader@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-12-21 16:29

厂商回复:

CNVD确认漏洞情况,已经转由CNCERT湖北分中心协调当地基础电信运营企业处置。
按部分影响机密性、完整性进行评分,基本危害评分6.82,发现技术难度系数1.1,涉及行业或单位影响系数1.4,综合rank=10.50

最新状态:

暂无


漏洞评价:

评论