当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112482

漏洞标题:青海省12329短信服务平台各种弱口令和补丁不及时

相关厂商:青海省住房资金管理中心信息中心

漏洞作者: 深蓝

提交时间:2015-05-18 19:21

修复时间:2015-07-06 19:06

公开时间:2015-07-06 19:06

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-18: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

青海省12329短信服务平台各种弱口令和补丁不及时

详细说明:

url:http://221.207.32.166:8888/manager/html
user:admin
pass:admin
http://221.207.32.166:8888/qhgjjSystem/login.action
http://221.207.32.166:8888/systemManager/doLogin.action
主机名: QHGJJ-12329
OS 名称: Microsoft(R) Windows(R) Server 2003 Enterprise x64 Edition
OS 版本: 5.2.3790 Service Pack 2 Build 3790
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Multiprocessor Free
注册的所有人: qhgjj-12329
注册的组织: qhgjj-12329
产品 ID: 91353-643-2105535-50237
初始安装日期: 2008-1-24, 3:34:20
系统启动时间: 15 天 2 小时 33 分 34 秒
系统制造商: HP
系统型号: ProLiant DL380 G5
系统类型: x64-based PC
处理器: 安装了 4 个处理器。
[01]: EM64T Family 6 Model 23 Stepping 6 GenuineIntel ~2500 Mhz
[02]: EM64T Family 6 Model 23 Stepping 6 GenuineIntel ~2500 Mhz
[03]: EM64T Family 6 Model 23 Stepping 6 GenuineIntel ~2500 Mhz
[04]: EM64T Family 6 Model 23 Stepping 6 GenuineIntel ~2500 Mhz
BIOS 版本: UNKNOWN
Windows 目录: C:\WINDOWS
系统目录: C:\WINDOWS\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 4,094 MB
可用的物理内存: 3,198 MB
页面文件: 最大值: 5,879 MB
页面文件: 可用: 5,172 MB
页面文件: 使用中: 707 MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: 暂缺
修补程序: 安装了 1 个修补程序。
[01]: Q147222
网卡: 安装了 2 个 NIC。
[01]: HP NC373i Multifunction Gigabit Server Adapter
连接名: 本地连接
启用 DHCP: 否
IP 地址
[01]: 192.168.10.101
[02]: HP NC373i Multifunction Gigabit Server Adapter
连接名: 本地连接 2
启用 DHCP: 否
IP 地址
[01]: 192.168.1.4

漏洞证明:

1.png

2.png

3.png

4.png

修复方案:

版权声明:转载请注明来源 深蓝@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-05-22 19:05

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给青海分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论