当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025508

漏洞标题:某信息系统泄漏厂商订单详情等大量商业信息,操作日志可查

相关厂商:华创通用信息系统

漏洞作者: nauscript

提交时间:2013-06-09 11:08

修复时间:2013-09-07 11:09

公开时间:2013-09-07 11:09

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某信息系统泄漏厂商订单详情等大量商业信息,操作日志可查,多家商户系统中招

详细说明:

刚才在发了一个关于政府信息系统的特例后,在网上继续看了一些关于信息系统的平台,发现了几家商户使用的华创通用信息系统普遍存在目录遍历,并在/data/attachfile/文件中存在商家在系统平台中的订单、配置单等大量商业信息,可直接下载,并在日志中完整的记录着管理者的操作,并在日志中明文记录了管理者登录的帐号密码以及数据库库名、cookie信息
华创通用信息系统开发的该信息系统平台,我个人推测是只有与网站整合了的才能被利用到,而内网使用的当然就无法测试了
以我扫到的这三家网站为例
汇鸿广电:http://www.huihongled.com/
北京美格励致科技有限公司:http://www.bjmglz.com(自助设备生产商,跳沙盒环境大多都是拿这种自助设备下手的,在信息系统中也泄漏了这些设备订单的相关数据配置)
北京恒鑫亚:http://www.hallsia.com/
http://www.intehel.cn(这两个都是恒鑫亚的网站)
这里似乎是对信息系统与网站做了整合,在加www的前缀时显示的企业网站都是正常的,也没有目录遍历的情况,但是当去掉www后直接输入域名并加上华创通用信息系统常用的目录就会遍历,例如data log program OnlineDown asp xlstemplate等等文件夹

3.jpg


/data/attachfile/文件夹中存放了各种商业信息,包括订单详情、客户资料、各种产品的配置等等,因企业所从事的行业不同而影响不同,在此不一一列举

1.jpg


2.jpg


在log文件夹下泄漏了用户的操作记录甚至是一些重要的敏感信息

5.jpg


6.jpg


因数据量较大,在此不一一列举,时间关系,也不再对涉及此漏洞的其他网站做渗透测试

漏洞证明:

如上

修复方案:

对相关信息的查阅、下载做权限控制

版权声明:转载请注明来源 nauscript@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论