武汉住房公积金管理中心，可进入后台修改查看数据，目录浏览，拖库 | wooyun-2013-025329| WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-025329

漏洞标题：武汉住房公积金管理中心，可进入后台修改查看数据，目录浏览，拖库

相关厂商：武汉住房公积金管理中心

漏洞作者：随时回来

提交时间：2013-06-07 11:04

修复时间：2013-07-22 11:04

公开时间：2013-07-22 11:04

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank：13

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-06-07：细节已通知厂商并且等待厂商处理中
2013-06-12：厂商已经确认，细节仅向厂商公开
2013-06-22：细节向核心白帽子及相关领域专家公开
2013-07-02：细节向普通白帽子公开
2013-07-12：细节向实习白帽子公开
2013-07-22：细节向公众公开

简要描述：

在网站url后加入敏感词汇可以····
网站源码泄露，身份证号码等敏感数据泄露，
无需管理员权限，修改查看数据
网站目录浏览
深入渗透，可拖库，

详细说明：

看图

漏洞证明：

可上传东东，进行拖库

修复方案：

洞主不敢进行进一步渗透，怕一不小心，手抖，有误国家大事，国泰民安，扰乱社会和谐，人类科技进步，国家繁荣昌盛·····

版权声明：转载请注明来源随时回来@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2013-06-12 00:13

厂商回复：

最新状态：

2013-06-12：补充确认情况：已经在8日转由CNCERT下发给湖北分中心，由其后续联系网站管理单位处置。

漏洞评价：

评论

2013-06-07 16:24 | 嘿！你好 ( 路人 | Rank:6 漏洞数:1 | 超越自己)

洞主即将成为房哥~
2013-06-07 16:55 | jerre ( 路人 | 还没有发布任何漏洞 | 码农一枚)

公积金中心好像从来没有修过bug吧
2013-06-07 18:49 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@嘿！你好有很多房太
2013-06-07 18:50 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@jerre 多地如此
2013-06-07 20:29 | 一号扛把子 ( 路人 | Rank:0 漏洞数:1 | 这片山头我说了算)

会送房么
2013-06-07 22:20 | Getshell ( 路人 | Rank:12 漏洞数:2 )

骚年，来一栋三层小别墅
2013-06-07 22:21 | 嘿！你好 ( 路人 | Rank:6 漏洞数:1 | 超越自己)

@随时回来求海景房一户
2013-06-07 22:43 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@嘿！你好今年收成不好，明年吧，行不，
2013-06-07 22:44 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@Getshell 先借一把镰刀，明天把田里草锄了先
2013-06-07 22:45 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@一号扛把子送，留下联系方式
2013-06-08 09:07 | 一号扛把子 ( 路人 | Rank:0 漏洞数:1 | 这片山头我说了算)

@随时回来武汉市汉阳区扁担山99号不谢
2013-06-08 11:11 | 随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好，喂的猪一点都没长，明早还得...)

@一号扛把子快递下午到，请查收，另外包邮两双袜子
2013-06-08 13:15 | 一号扛把子 ( 路人 | Rank:0 漏洞数:1 | 这片山头我说了算)

@随时回来好的。不谢