当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017730

漏洞标题:梦洁家纺员工上网行为暴露(灰常严重!)

相关厂商:mendale.com

漏洞作者: leaf

提交时间:2013-01-23 13:26

修复时间:2013-01-24 18:10

公开时间:2013-01-24 18:10

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-23: 细节已通知厂商并且等待厂商处理中
2013-01-23: 厂商已经确认,细节仅向厂商公开
2013-01-24: 厂商提前公开漏洞,细节向公众公开

简要描述:

梦洁家纺员工上网行为暴露,几乎不亚于控制整个内网!

详细说明:

梦洁家纺深信服上网行为管理系统弱口令:
https://oa.mendale.com/index.php

2.jpg


设备里的各种配置信息暂且不论,仅仅"内置数据中心"就泄漏大量敏感信息,比如"邮件查询"功能,员工的各种邮件一览无余...

3.jpg


1.jpg


...
...
...
and so on!!!
不再一一贴图,毫不夸张的说,能够访问此设备,不亚于控制整个内网!

漏洞证明:

如上所述!

修复方案:

加强口令安全策略!
提高信息安全意识!

版权声明:转载请注明来源 leaf@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-01-23 18:05

厂商回复:

非常感谢!被你这个吓了一大跳!领导说了,多来几个洞就有礼物送~

最新状态:

2013-01-23:相关部门已经接收漏洞报告,等待确认。

2013-01-24:漏洞已确认真实存在,等待处理。

2013-01-24:漏洞已经修复,欢迎再次检测。

漏洞评价:

评论

  1. 2013-01-23 18:18 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    哈哈哈哈哈,多来几个洞就有礼物送~

  2. 2013-01-23 18:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    领导说了,多来几个洞就有礼物送~

  3. 2013-01-23 18:26 | antidote ( 路人 | Rank:0 漏洞数:2 | <script>alert(hzh))

    领导说了,多来几个洞就有礼物送~

  4. 2013-01-23 19:09 | 梦洁家纺(乌云厂商)

    怎么了。。。。干嘛排队列!

  5. 2013-01-23 20:32 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    有礼物!~去了,。

  6. 2013-01-23 21:04 | 梦洁家纺(乌云厂商)

    @px1624 好的,谢谢~

  7. 2013-01-23 21:11 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @梦洁家纺 这个得尽快修改啊!

  8. 2013-01-23 21:12 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @梦洁家纺 一般几个有?找好了一次性发

  9. 2013-01-23 21:33 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @se55i0n @风萧萧 有礼物有妹纸 看你们的了

  10. 2013-01-23 21:39 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @梦洁家纺 这是我见过最坦白的厂商了

  11. 2013-01-23 22:50 | 梦洁家纺(乌云厂商)

    @leaf 好的,已经提交给程序猿和攻城狮们~

  12. 2013-01-23 22:51 | 梦洁家纺(乌云厂商)

    @冷静 坦白从宽才能激扬你们的斗志!

  13. 2013-01-23 22:53 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @梦洁家纺 。。。看来会有一场暴风雨要来临了、、、一大批僵尸会去奔礼物了。。

  14. 2013-01-24 00:41 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    神马,多来几个洞有礼物送?@梦洁家纺 。。能送被子和被套吗。。哥刚好需要

  15. 2013-01-24 19:12 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)

    领导说了,多来几个洞就有礼物送~

  16. 2013-01-24 20:48 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    的确还有洞……

  17. 2013-01-25 02:55 | 0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)

    领导说了,多来几个洞就有礼物送~

  18. 2013-01-25 08:07 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    组团去挖洞

  19. 2013-01-25 13:44 | P w ( 实习白帽子 | Rank:72 漏洞数:14 | -这家伙很懒,什么都没有留下。其实我真的很...)

    鄙视上网行为

  20. 2013-01-25 14:18 | 0x00de ( 路人 | Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)

    组队挖洞

  21. 2013-01-25 18:28 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    多来几个洞就有礼物

  22. 2013-01-25 18:52 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    呵呵。。

  23. 2013-01-25 22:21 | 溪水流淌 ( 路人 | Rank:9 漏洞数:2 | 如果一切都任我欲为,我会有迷失在这自由深...)

    领导说了,多来几个洞就有礼物送~

  24. 2013-02-01 08:12 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @梦洁家纺 多来几个,几个是多呢?

  25. 2013-02-01 13:35 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    那得多送几床被子,哈哈!!!

  26. 2013-02-08 23:29 | 梦洁家纺(乌云厂商)

    年底太多事了,没来得及发礼物。透露一下礼物大致内容:希捷1TB(1024GB)移动硬盘,魅族MX双核或四核版,联通3G上网卡(每年40G,免费3年),再提一下,@leaf 是移动硬盘 @oldcat 是魅族手机(主要由于他在线下渠道直接向我们反馈了多个漏洞)。其他的待定

  27. 2013-02-09 07:40 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    @梦洁家纺 给力

  28. 2013-02-09 12:35 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @梦洁家纺 我的呢?伤心。T_T

  29. 2013-02-10 23:08 | 梦洁家纺(乌云厂商)

    @小胖子 待定,会帮你争取

  30. 2013-02-11 10:42 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @梦洁家纺 礼物争取一个棒棒糖就够了,但是重点是我的一个漏洞被忽略公开了,不知你们修复没有,涉及一个招聘站和一个家居站呢,哎,都回家过年了还这么辛苦,新年好啊!!!!

  31. 2013-02-12 14:07 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    我日。。这手笔。

  32. 2013-02-13 00:23 | 法客人鬼神 ( 路人 | Rank:6 漏洞数:2 | 一直坚持吧,少年!)

    好大方的厂商~

  33. 2013-03-01 17:58 | 情逍遥 ( 路人 | Rank:10 漏洞数:3 )

    = = 这几年漏洞不好找呀。!

  34. 2013-03-27 21:41 | 梦洁家纺(乌云厂商)

    以前的厂商是冒注的,没有礼物发,但谢谢大家提醒,漏洞已修复!

  35. 2013-03-27 21:44 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @梦洁家纺 那,礼物呢?亲!

  36. 2013-03-27 21:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @梦洁家纺 不科学啊

  37. 2013-03-27 21:46 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @xsser @梦洁家纺 记得发邮件弱口令漏洞的还说领取了手机...不但漏洞被冒领,那还有一个所谓白帽子 一并“演戏”?

  38. 2013-03-27 21:48 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @leaf 就是,我刚才已经@ 他了, @oldcat 来给大伙说说?

  39. 2013-03-27 21:49 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @梦洁家纺 @xsser @小胖子 礼物不礼物的,已经不是那么重要了,我想知道真相...

  40. 2013-03-27 21:56 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @梦洁家纺 @leaf 对的,礼物不礼物,我们俩盼望硬盘两个月了,这精神上的折磨,次奥!我很好奇,我就想知道真相!!!!!!!

  41. 2013-03-27 21:59 | 梦洁家纺(乌云厂商)

    因为部门人事变更,被人恶意泄露信息,并在此公布欺骗大家,我也是好不容易进来,澄清事实,不过还是谢谢大家提醒!

  42. 2013-03-27 22:03 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @leaf 传说中的无间道~哈哈,我怎么感觉这个算是乌云的一个漏洞呢。。@xsser 你怎么看~

  43. 2013-03-27 22:04 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @xsser @小胖子 @px1624 坐等...

  44. 2013-03-27 22:08 | 梦洁家纺(乌云厂商)

    以后乌云网要见到盖公章的文件,才能知道是不是厂商,目前这种方式很容易被人欺骗了

  45. 2013-03-28 11:41 | noah ( 普通白帽子 | Rank:384 漏洞数:40 )

    @oldcat 你Y就一人才...

  46. 2013-03-28 19:14 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    牛逼...