当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034530

漏洞标题:用友软件分站漏洞集合(弱口令.敏感信息.编辑器.爆路径)

相关厂商:用友软件

漏洞作者: Summer

提交时间:2013-08-16 19:07

修复时间:2013-09-30 19:07

公开时间:2013-09-30 19:07

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-16: 细节已通知厂商并且等待厂商处理中
2013-08-19: 厂商已经确认,细节仅向厂商公开
2013-08-29: 细节向核心白帽子及相关领域专家公开
2013-09-08: 细节向普通白帽子公开
2013-09-18: 细节向实习白帽子公开
2013-09-30: 细节向公众公开

简要描述:

关注"用友软件"一千年。。。永不放弃。。。

详细说明:

1.http://seentao.yonyou.com/admin
user:admin
pwd:admin888
和上次的phpcmsv9一样,弱口令直接进。

1.jpg


2.http://health.yonyou.com
http://health.yonyou.com/readme.txt数据库信息

2.jpg


http://health.yonyou.com/yiliao.sql数据库备份

3.jpg


http://health.yonyou.com/admin/fckeditor/editor/fckeditor.html编辑器
被插成马蜂窝了。。。

4.jpg


3.http://gov.yonyou.com/
http://gov.yonyou.com/list.php 爆路径
http://gov.yonyou.com/read.php 爆路径
http://gov.yonyou.com/fwzc/test.php 爆路径

5.jpg


漏洞证明:

1.http://seentao.yonyou.com/admin
user:admin
pwd:admin888
和上次的phpcmsv9一样,弱口令直接进。

1.jpg


2.http://health.yonyou.com
http://health.yonyou.com/readme.txt数据库信息

2.jpg


http://health.yonyou.com/yiliao.sql数据库备份

3.jpg


http://health.yonyou.com/admin/fckeditor/editor/fckeditor.html编辑器
被插成马蜂窝了。。。

4.jpg


3.http://gov.yonyou.com/
http://gov.yonyou.com/list.php 爆路径
http://gov.yonyou.com/read.php 爆路径
http://gov.yonyou.com/fwzc/test.php 爆路径

5.jpg


修复方案:

1.解决下弱口令问题呗,加强密码强度
2.加强敏感信息的管理

版权声明:转载请注明来源 Summer@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-08-19 09:57

厂商回复:

确认漏洞存在,感谢Summer对用友的帮助。我们会尽快修复相关漏洞。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-16 21:04 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    弱口令。。。admin那个吗。。。

  2. 2013-08-16 21:06 | Summer ( 普通白帽子 | Rank:433 漏洞数:98 | 尽自己最大的努力去完成梦想)

    @YwiSax 貌似不是的...