漏洞概要
关注数(24)
关注此漏洞
漏洞标题:厦门航空多个系统弱口令+sql注入漏洞
提交时间:2013-12-13 16:01
修复时间:2014-01-27 16:02
公开时间:2014-01-27 16:02
漏洞类型:后台弱口令
危害等级:高
自评Rank:13
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-12-13: 细节已通知厂商并且等待厂商处理中
2013-12-17: 厂商已经确认,细节仅向厂商公开
2013-12-27: 细节向核心白帽子及相关领域专家公开
2014-01-06: 细节向普通白帽子公开
2014-01-16: 细节向实习白帽子公开
2014-01-27: 细节向公众公开
简要描述:
厦门航空某几个系统弱口令并存在sql注入漏洞
(还有飞机维修资料哦 o(∩_∩)o 哈哈)
详细说明:
#1.
厦门航空在线学习网络学院 http://edu.xiamenair.com.cn/
(这个系统用来学习还不错,很多资源,礼仪啊,飞机维修啊等等~~)
(1)弱口令 admin 123456
(2)sql注入:
post:
当前数据库:eduxmhk
#2.http://210.13.209.87:9006/(任意用户名/密码都可进)猜测是测试系统吧
(1)弱口令 admin admin
(2)SQL注入:
cookie:
当前数据库:reliability
#3.http://210.13.209.87:9005/
弱口令:admin admin
功能挺多的,应该也在测试阶段吧,有上传的地方,试了下多上传格式没有限制,但偶找不到上传后的地址,而且这个系统和端口9006的系统似乎是通用的.
漏洞证明:
修复方案:
版权声明:转载请注明来源 袋鼠妈妈@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2013-12-17 20:45
厂商回复:
CNVD确认并复现所述情况,转由CNCERT下发给福建分中心,由其后续联系网站管理单位处置。按多个漏洞进行评分,rank 13
最新状态:
暂无
漏洞评价:
评论
-
2013-12-13 17:59 |
Ivan ( 实习白帽子 | Rank:81 漏洞数:9 | 小菜逼一个)
-
2013-12-18 09:24 |
浪迹海角 ( 路人 | Rank:20 漏洞数:4 | 低调,谢绝各种查水表、快递、家电下乡、人...)
-
目前已经整改得差不多,漏洞并不涉及重要的网站,所以请大家不用担心。^-^
-
2013-12-18 18:10 |
袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)
@厦门航空-信息安全 hello..o(∩_∩)o
-