漏洞概要
关注数(24)
关注此漏洞
漏洞标题:国家邮政局某信息系统存在命令执行漏洞导致GetShell(涉及4W+用户、明文密码存储)
提交时间:2014-10-23 16:40
修复时间:2014-10-28 16:42
公开时间:2014-10-28 16:42
漏洞类型:命令执行
危害等级:高
自评Rank:14
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-10-23: 细节已通知厂商并且等待厂商处理中
2014-10-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
国家邮政局某信息系统存在命令执行漏洞导致GetShell (涉及4W+用户、明文密码存储)
详细说明:
快递业务经营许可管理信息系统
地址:http://kdjyxk.post.gov.cn/register_logout.do
找到数据库连接信息,测试连接数据库
查询comuser表,涉及45000条用户信息,且明文密码存储
另各局管理员数据
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-10-28 16:42
厂商回复:
最新状态:
2014-10-29:已修复,谢谢
漏洞评价:
评论
-
2014-10-23 12:36 |
GHK ( 路人 | Rank:2 漏洞数:1 | 请叫我小渣渣。)
-
2014-10-23 14:41 |
Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)
-
2014-10-28 21:04 |
ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦?)
-
2014-10-29 10:36 |
GHK ( 路人 | Rank:2 漏洞数:1 | 请叫我小渣渣。)
-
2014-10-29 19:32 |
袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)