当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100447

漏洞标题:江西机场集团某站敏感信息泄露可进网站后台管理系统

相关厂商:江西机场集团

漏洞作者: 听风的歌

提交时间:2015-03-10 10:31

修复时间:2015-04-24 10:32

公开时间:2015-04-24 10:32

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-10: 细节已通知厂商并且等待厂商处理中
2015-03-13: 厂商已经确认,细节仅向厂商公开
2015-03-23: 细节向核心白帽子及相关领域专家公开
2015-04-02: 细节向普通白帽子公开
2015-04-12: 细节向实习白帽子公开
2015-04-24: 细节向公众公开

简要描述:

江西机场集团某站敏感信息泄露可进网站后台管理系统,可以上传图片,可以修改网站内容等等

详细说明:

井冈山机场是经国务院,中央军委批准在原空军泰和机场的基础上扩建而成的军民合用支线旅游机场,是党中央、国务院情系革命老区的民心工程,位于江西省吉安市泰和县西北17公里处,距吉安市区50公里、井冈山景区80公里, 连接泰井高速公路,并与赣粤高速公路互通。2002年10月19日奠基开工,2004年5月18日建成通航,工程总投资近2亿元人民币,占地约2323亩,候机楼面积为3340平方米,飞行区等级为4C级,设计使用机型为B757及以下型号的飞机,航站区按2010年旅客吞吐量28万人次,货邮吞吐量400吨,高峰小时旅客吞吐量171人次设计。 截至2008年,井冈山机场开通了至北京、上海、深圳、厦门、杭州、长沙、南京等地航线,累计安全起降航班近3000架次,迎送旅客近17万人次,货邮吞吐200余吨。目前正常运营至北京、上海、深圳、厦门、杭州等5条航线,每周起降航班54架次,航空通达性逐步改善,2009年,旅客吞吐量有望突破10万人次关口。 井冈山机场是吉安市构筑立体交通的重要组成部分,是吉安市对外开放的重要窗口和城市名片,井冈山机场的通航运营对于改善当地的投资环境,提升城市品位,促进产业升级,从而促进全市经济社会的发展发挥着重要的作用。
吉安井冈山机场敏感信息泄露可进网站后台,维护人员未删除敏感文件,后果你懂的,可以上传图片,可以修改网站内容等等

漏洞证明:

1.网站后台管理员信息泄露
文件直接保存在网站根目录
http://jajgsairport.com/新建 文本文档.txt

1.jpg


2.jpg


3.jpg


4.jpg


其中普通管理员“jgsairport”可通过后台地址http://jajgsairport.com/admin/Admin_login.asp直接进入后台
2.源代码泄漏,可下载整个网站源代码
http://www.jajgsairport.com/jajgsairport.com.rar

修复方案:

1.删除网站备份文件和密码记录txt文件
2.修改网站后台密码
3.更新网站cms系统到最新版本。

版权声明:转载请注明来源 听风的歌@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-03-13 18:21

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向网站管理单位通报。

最新状态:

暂无


漏洞评价:

评论