漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-068059
漏洞标题:某通用性OA系统漏洞
相关厂商:某通用性OA系统
漏洞作者: luwikes
提交时间:2014-10-21 18:31
修复时间:2015-01-19 18:32
公开时间:2015-01-19 18:32
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-21: 细节已通知厂商并且等待厂商处理中
2014-10-25: 厂商已经确认,细节仅向厂商公开
2014-10-28: 细节向第三方安全合作伙伴开放
2014-12-19: 细节向核心白帽子及相关领域专家公开
2014-12-29: 细节向普通白帽子公开
2015-01-08: 细节向实习白帽子公开
2015-01-19: 细节向公众公开
简要描述:
~
详细说明:
PKPM办公自动化系统漏洞总结
1、任意用户下载管理控件,泄露数据库管理信息
例:http://www.hztdjt.com/tdoa/ 杭州通达集团协同办公管理系统
2、登陆页面用户名密码可爆破
例:http://www.hztdjt.com/tdoa/Default.aspx
3、sql注入
效果图
漏洞证明:
1、任意用户下载管理控件,泄露数据库管理信息(经测试其内容为默认,非敏感信息)
例:http://www.hztdjt.com/tdoa/ 杭州通达集团协同办公管理系统
2、登陆页面用户名密码可爆破
例:http://www.hztdjt.com/tdoa/Default.aspx
3、sql注入
效果图
通用性证明:
http://115.238.34.229/zjyjoa/浙江省一建建设集团协同办公管理系统
http://oa.cnzgc.com/zjjtoa/ 浙江省建设投资集团协同办公管理系统
http://oa.zjsjg.com/zjjgoa/Default.aspx浙江省建工集团协同办公管理系统
http://218.71.137.118:8088/zjejoa/浙江二建集团协同办公管理系统
http://122.224.90.36/zjjgoa/default.aspx浙江建工集团协同办公管理系统
http://219.140.199.51/whoa/武汉建工办公管理系统
http://60.210.111.74:8013/pkpmoa/山东天齐置业集团股份有限公司协同办公管理系统
http://221.136.94.29/hsjsoa/华升建设集团协同办公系统
http://oa.scg.cn/oa/上海建工协同办公系统
http://222.240.234.59/hngjjtoa/湖南高岭建设集团股份有限公司办公系统
http://www.hztdjt.com/tdoa/杭州通达集团协同办公管理系统+
http://122.224.56.203/oa/中成集团协同办公管理系统
http://218.28.136.50/hnyjjt/河南一建集团工程有限责任公司协同办公管理系统
http://info.cdjgjt.com:8050/oa/成都建筑工程集团总公司
http://125.69.69.65:8080/hx6joa/四川华西集团有限公司协同办公管理系统
http://220.174.25.52:8080/hjoa/?subid=892&id=732海南建设工程股份有限公司
http://218.56.176.27/oa/兴业集团
http://oa.sdjhfc.com/oa/锦华房产协同办公管理系统
http://www.huceg.com/hzjgoa/湖州建工协同办公管理系统
http://124.207.231.10/hhjtoa/华翰投资集团有限公司协同办公管理系统
http://www.longjianlq.com/oa/龙建路桥协同办公管理系统
http://122.224.38.2/oa/中联建设集团有限公司协同办公管理系统
有的节点有验证码,不过可以轻松绕过
修复方案:
。。
版权声明:转载请注明来源 luwikes@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-10-25 23:53
厂商回复:
最新状态:
暂无