联想企业邮箱修改密码配置不当（导致内部大量敏感信息泄露）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116676

漏洞标题：联想企业邮箱修改密码配置不当（导致内部大量敏感信息泄露）

漏洞作者：路人甲

提交时间：2015-05-28 14:41

修复时间：2015-07-16 10:54

公开时间：2015-07-16 10:54

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-28：细节已通知厂商并且等待厂商处理中
2015-06-01：厂商已经确认，细节仅向厂商公开
2015-06-11：细节向核心白帽子及相关领域专家公开
2015-06-21：细节向普通白帽子公开
2015-07-01：细节向实习白帽子公开
2015-07-16：细节向公众公开

简要描述：

看着联想员工的工资，啧啧啧。。。

详细说明：

1.联想企业邮箱：登录地址http://rs.lenovo.net/index.php

2.点击忘记密码发现是利用注册时的问题就可以重设密码。于是乎：

lijn@rs.lenovo.com.cn
liuzg@rs.lenovo.com.cn
yuliang@rs.lenovo.com.cn
ligen@rs.lenovo.com.cn
xiongla@rs.lenovo.com.cn
leibm@rs.lenovo.com.cn
chenhn@rs.lenovo.com.cn
jiaql@rs.lenovo.com.cn
chenmy@rs.lenovo.com.cn
fengyy@rs.lenovo.com.cn
duansb@rs.lenovo.com.cn
likang@rs.lenovo.com.cn
zhongyi@rs.lenovo.com.cn
pengxw@rs.lenovo.com.cn
wangpeng@rs.lenovo.com.cn
fujia@rs.lenovo.com.cn
dinglei@rs.lenovo.com.cn
chenhq@rs.lenovo.com.cn
chenfanga@rs.lenovo.com.cn
dbqb@rs.lenovo.com.cn
huangyingf@rs.lenovo.com.cn
chenzhen@rs.lenovo.com.cn
changxh@rs.lenovo.com.cn
chenjf1@rs.lenovo.com.cn
chenhh@rs.lenovo.com.cn
cheny@rs.lenovo.com.cn
data-recovery@rs.lenovo.com.cn
liujuan@rs.lenovo.com.cn
chenq@rs.lenovo.com.cn
chenzhen1@rs.lenovo.com.cn
mall@rs.lenovo.com.cn
liujia@rs.lenovo.com.cn
lifm@rs.lenovo.com.cn
wangdong@rs.lenovo.com.cn
jiaojiao@rs.lenovo.com.cn
nongjt@rs.lenovo.com.cn
chenc@rs.lenovo.com.cn
liuxj@rs.lenovo.com.cn
liangyb@rs.lenovo.com.cn
kangshuang@rs.lenovo.com.cn
xiejl@rs.lenovo.com.cn
huangdd@rs.lenovo.com.cn
huangxf@rs.lenovo.com.cn
liufj@rs.lenovo.com.cn
chengming1@rs.lenovo.com.cn
miaoll@rs.lenovo.com.cn
huangzhe@rs.lenovo.com.cn
biyh@rs.lenovo.com.cn
liangshuang@rs.lenovo.com.cn
songsong@rs.lenovo.com.cn
dongww@rs.lenovo.com.cn
mengdx@rs.lenovo.com.cn
liangwei@rs.lenovo.com.cn
peijing@rs.lenovo.com.cn
chenln@rs.lenovo.com.cn
chenjqa@rs.lenovo.com.cn
yangfei@rs.lenovo.com.cn
jiaxs@rs.lenovo.com.cn
zhangbin@rs.lenovo.com.cn
jintounao@rs.lenovo.com.cn
chenx8@rs.lenovo.com.cn
chengjy@rs.lenovo.com.cn
guolei@rs.lenovo.com.cn
ganwd@rs.lenovo.com.cn
lisw@rs.lenovo.com.cn
chenlong@rs.lenovo.com.cn
jiangjh@rs.lenovo.com.cn
dongjie@rs.lenovo.com.cn
mengting@rs.lenovo.com.cn
caoyu@rs.lenovo.com.cn
chengcheng@rs.lenovo.com.cn
huangqin@rs.lenovo.com.cn
lixiang@rs.lenovo.com.cn
chenx6@rs.lenovo.com.cn
ludan@rs.lenovo.com.cn
chennuo@rs.lenovo.com.cn
liulin@rs.lenovo.com.cn
zhangzhh@rs.lenovo.com.cn
huangqp@rs.lenovo.com.cn
miaoqi@rs.lenovo.com.cn
geyu@rs.lenovo.com.cn
yangsl@rs.lenovo.com.cn
chenyd@rs.lenovo.com.cn
panyl@rs.lenovo.com.cn
lill@rs.lenovo.com.cn
gaoxy@rs.lenovo.com.cn
mengjj@rs.lenovo.com.cn
chenjie@rs.lenovo.com.cn
gaoling@rs.lenovo.com.cn
wangyun@rs.lenovo.com.cn
chenbla@rs.lenovo.com.cn
liyan@rs.lenovo.com.cn
liufengg@rs.lenovo.com.cn
mokui@rs.lenovo.com.cn
chenh1@rs.lenovo.com.cn
huichj@rs.lenovo.com.cn
wukai@rs.lenovo.com.cn
jianglei@rs.lenovo.com.cn
zhangyan@rs.lenovo.com.cn
yancz@rs.lenovo.com.cn
chenxm@rs.lenovo.com.cn
chenxi@rs.lenovo.com.cn
niepeng@rs.lenovo.com.cn
chenyq@rs.lenovo.com.cn
chenying@rs.lenovo.com.cn
mayb@rs.lenovo.com.cn
guoxl@rs.lenovo.com.cn
lissa@rs.lenovo.com.cn
zhengdan@rs.lenovo.com.cn
lizhh@rs.lenovo.com.cn
chengfei@rs.lenovo.com.cn
chensf@rs.lenovo.com.cn
liuzn@rs.lenovo.com.cn
liudan@rs.lenovo.com.cn
chenye@rs.lenovo.com.cn
huangyt@rs.lenovo.com.cn
guorl@rs.lenovo.com.cn
denglin@rs.lenovo.com.cn
huke@rs.lenovo.com.cn
caoyj@rs.lenovo.com.cn
liusj@rs.lenovo.com.cn
weijie@rs.lenovo.com.cn
juan@rs.lenovo.com.cn
xieyha@rs.lenovo.com.cn
chenxing@rs.lenovo.com.cn
liulch@rs.lenovo.com.cn
chenb1@rs.lenovo.com.cn
duhan@rs.lenovo.com.cn
chenchi@rs.lenovo.com.cn
changliang@rs.lenovo.com.cn
dongcl@rs.lenovo.com.cn
fuwei@rs.lenovo.com.cn
lihui@rs.lenovo.com.cn
chenwq@rs.lenovo.com.cn
wangmm@rs.lenovo.com.cn
chenwc@rs.lenovo.com.cn
luoyl1@rs.lenovo.com.cn
jiahong@rs.lenovo.com.cn
zhangsz@rs.lenovo.com.cn
huanglina@rs.lenovo.com.cn
fanchao@rs.lenovo.com.cn
cheny1@rs.lenovo.com.cn
liuai@rs.lenovo.com.cn
liuhw@rs.lenovo.com.cn
maoli@rs.lenovo.com.cn
lixy1@rs.lenovo.com.cn
chenning@rs.lenovo.com.cn
huxy@rs.lenovo.com.cn
xingyun@rs.lenovo.com.cn
chengxx@rs.lenovo.com.cn
sunnn@rs.lenovo.com.cn
liangwei1@rs.lenovo.com.cn
liys@rs.lenovo.com.cn
malin@rs.lenovo.com.cn
liuyy@rs.lenovo.com.cn
liuli1@rs.lenovo.com.cn
yangbiao@rs.lenovo.com.cn
qiangfei@rs.lenovo.com.cn
dengjb@rs.lenovo.com.cn
chenjie1@rs.lenovo.com.cn
niezy@rs.lenovo.com.cn
liys_sf@rs.lenovo.com.cn
raozx@rs.lenovo.com.cn
lanpeng@rs.lenovo.com.cn
jiangqian1@rs.lenovo.com.cn
jiangqian@rs.lenovo.com.cn
wangfei@rs.lenovo.com.cn
zhangfc@rs.lenovo.com.cn
chengang@rs.lenovo.com.cn
liubo@rs.lenovo.com.cn
chenjl@rs.lenovo.com.cn
chenjj@rs.lenovo.com.cn
chenfg@rs.lenovo.com.cn
wangrf@rs.lenovo.com.cn
chengjj@rs.lenovo.com.cn
hesj@rs.lenovo.com.cn
yangyong@rs.lenovo.com.cn
lizhj1@rs.lenovo.com.cn
donghh@rs.lenovo.com.cn
zhangby@rs.lenovo.com.cn
huangxiu@rs.lenovo.com.cn
wangmh@rs.lenovo.com.cn
pansb@rs.lenovo.com.cn
luleia@rs.lenovo.com.cn
guanbl@rs.lenovo.com.cn
longjing@rs.lenovo.com.cn
xujk@rs.lenovo.com.cn
jiangwz@rs.lenovo.com.cn
lihui1@rs.lenovo.com.cn
chenping@rs.lenovo.com.cn
chenlei@rs.lenovo.com.cn
penglin@rs.lenovo.com.cn
chenh@rs.lenovo.com.cn
fucong@rs.lenovo.com.cn
zhangxj@rs.lenovo.com.cn
huangyun@rs.lenovo.com.cn
chenn1@rs.lenovo.com.cn
hujy@rs.lenovo.com.cn
tangll@rs.lenovo.com.cn
luolp@rs.lenovo.com.cn
zhangwga@rs.lenovo.com.cn
chenx2@rs.lenovo.com.cn
liuli@rs.lenovo.com.cn
xiaoyong@rs.lenovo.com.cn
chengyy@rs.lenovo.com.cn
chenyun@rs.lenovo.com.cn
pengll@rs.lenovo.com.cn
liuxina@rs.lenovo.com.cn
huyz@rs.lenovo.com.cn
guifc@rs.lenovo.com.cn
lianggy@rs.lenovo.com.cn
baihua@rs.lenovo.com.cn
chensw@rs.lenovo.com.cn
chengxw@rs.lenovo.com.cn
wangdb@rs.lenovo.com.cn
mingzk@rs.lenovo.com.cn
zhengcz@rs.lenovo.com.cn
zouht@rs.lenovo.com.cn
chenbl@rs.lenovo.com.cn
chenpeng@rs.lenovo.com.cn
xiaxin@rs.lenovo.com.cn
qinyq@rs.lenovo.com.cn
wangej@rs.lenovo.com.cn
liangjia@rs.lenovo.com.cn
liuxm@rs.lenovo.com.cn
lihao@rs.lenovo.com.cn
shij@rs.lenovo.com.cn
chenx1@rs.lenovo.com.cn
luhua@rs.lenovo.com.cn
liqiang@rs.lenovo.com.cn
lijg1@rs.lenovo.com.cn
chenend@rs.lenovo.com.cn
liuzl@rs.lenovo.com.cn
luweia@rs.lenovo.com.cn
jiaohn@rs.lenovo.com.cn
kangdw@rs.lenovo.com.cn
songning@rs.lenovo.com.cn
chenxiang@rs.lenovo.com.cn
maoyp@rs.lenovo.com.cn
wangcan@rs.lenovo.com.cn
kongly@rs.lenovo.com.cn
xiongkai@rs.lenovo.com.cn
duwei@rs.lenovo.com.cn
chenys@rs.lenovo.com.cn
jiangmz@rs.lenovo.com.cn
liujia1@rs.lenovo.com.cn
huangyinga@rs.lenovo.com.cn
lixd@rs.lenovo.com.cn
zhouyd@rs.lenovo.com.cn
jiangshan@rs.lenovo.com.cn
caowq@rs.lenovo.com.cn
lajp@rs.lenovo.com.cn
masha@rs.lenovo.com.cn
maotl@rs.lenovo.com.cn
tangbin@rs.lenovo.com.cn
wanghua@rs.lenovo.com.cn
lizg@rs.lenovo.com.cn
anli_sf@rs.lenovo.com.cn
heqz@rs.lenovo.com.cn
tianhua@rs.lenovo.com.cn
huangss@rs.lenovo.com.cn
libo@rs.lenovo.com.cn
zhouss@rs.lenovo.com.cn
chengchuan@rs.lenovo.com.cn
chenqian@rs.lenovo.com.cn
luyf@rs.lenovo.com.cn
chaig@rs.lenovo.com.cn
zhenglei@rs.lenovo.com.cn
shifeng@rs.lenovo.com.cn
miaoyp@rs.lenovo.com.cn
feiwei@rs.lenovo.com.cn
chengjing@rs.lenovo.com.cn
sunqi@rs.lenovo.com.cn
chenzh@rs.lenovo.com.cn
zhangyong@rs.lenovo.com.cn
yinliang@rs.lenovo.com.cn
liuwei@rs.lenovo.com.cn
zhanglia@rs.lenovo.com.cn
chengp@rs.lenovo.com.cn
dingye@rs.lenovo.com.cn
huxx@rs.lenovo.com.cn
fanjh@rs.lenovo.com.cn
xujj@rs.lenovo.com.cn
xuyang@rs.lenovo.com.cn
chengcb@rs.lenovo.com.cn
liuweib@rs.lenovo.com.cn
huxj@rs.lenovo.com.cn
maxc@rs.lenovo.com.cn
duanrj@rs.lenovo.com.cn
chentf@rs.lenovo.com.cn
lizj@rs.lenovo.com.cn
liuyg@rs.lenovo.com.cn
luoyl@rs.lenovo.com.cn
liwr@rs.lenovo.com.cn
jiajuan@rs.lenovo.com.cn
huangzhen@rs.lenovo.com.cn
liaolp@rs.lenovo.com.cn
lissb@rs.lenovo.com.cn
liuke@rs.lenovo.com.cn
chenfeng@rs.lenovo.com.cn
dujun@rs.lenovo.com.cn
guojian@rs.lenovo.com.cn
liangzc@rs.lenovo.com.cn
zhaichao@rs.lenovo.com.cn
chenkangb@rs.lenovo.com.cn
shichun@rs.lenovo.com.cn
liyanc@rs.lenovo.com.cn
chenfang@rs.lenovo.com.cn
lixl@rs.lenovo.com.cn
wudi@rs.lenovo.com.cn
helei@rs.lenovo.com.cn
chenx3@rs.lenovo.com.cn
bianzhh@rs.lenovo.com.cn
guocy@rs.lenovo.com.cn
liyj@rs.lenovo.com.cn
fanry@rs.lenovo.com.cn
luhf@rs.lenovo.com.cn
liya@rs.lenovo.com.cn
zengyf@rs.lenovo.com.cn
baoll@rs.lenovo.com.cn
zhanghuia@rs.lenovo.com.cn
chenwch@rs.lenovo.com.cn
panliang1@rs.lenovo.com.cn
dingst@rs.lenovo.com.cn
chenfj@rs.lenovo.com.cn
liyang@rs.lenovo.com.cn
fantian@rs.lenovo.com.cn
hubo@rs.lenovo.com.cn
baopeng@rs.lenovo.com.cn
huangjy@rs.lenovo.com.cn
dongmin@rs.lenovo.com.cn
pengyan@rs.lenovo.com.cn
wangzheng@rs.lenovo.com.cn
luyw@rs.lenovo.com.cn
baiqi@rs.lenovo.com.cn
cuixd@rs.lenovo.com.cn
lujj@rs.lenovo.com.cn
chengsw@rs.lenovo.com.cn
bailiang@rs.lenovo.com.cn
fanpf@rs.lenovo.com.cn
liangmin@rs.lenovo.com.cn
liuzc@rs.lenovo.com.cn
lujuan@rs.lenovo.com.cn
huyy@rs.lenovo.com.cn
liujya@rs.lenovo.com.cn
panjj@rs.lenovo.com.cn
licc@rs.lenovo.com.cn
lijuan@rs.lenovo.com.cn
jiaac@rs.lenovo.com.cn
chenql@rs.lenovo.com.cn
huangxl@rs.lenovo.com.cn
liusu@rs.lenovo.com.cn
chenlei2@rs.lenovo.com.cn
chenbin@rs.lenovo.com.cn
liwj@rs.lenovo.com.cn
huanghu@rs.lenovo.com.cn
bit@rs.lenovo.com.cn
liuhq@rs.lenovo.com.cn
wanfeng@rs.lenovo.com.cn
chened@rs.lenovo.com.cn
chengj@rs.lenovo.com.cn
chenms@rs.lenovo.com.cn
liaorui@rs.lenovo.com.cn
shihui@rs.lenovo.com.cn
fanxw@rs.lenovo.com.cn
fanxc@rs.lenovo.com.cn
dujuan@rs.lenovo.com.cn
yanjg1@rs.lenovo.com.cn
chenjq@rs.lenovo.com.cn
liuyang@rs.lenovo.com.cn
hancq@rs.lenovo.com.cn
jiangjia@rs.lenovo.com.cn
yangyi@rs.lenovo.com.cn
baifan@rs.lenovo.com.cn
chenyue@rs.lenovo.com.cn
gaoly@rs.lenovo.com.cn
jiangwei@rs.lenovo.com.cn
chenlu@rs.lenovo.com.cn
zhaoxq@rs.lenovo.com.cn
chenxl@rs.lenovo.com.cn
yujl@rs.lenovo.com.cn
zhuky@rs.lenovo.com.cn
anran@rs.lenovo.com.cn
lihb@rs.lenovo.com.cn
chenglei1@rs.lenovo.com.cn
huangyu@rs.lenovo.com.cn
caiyh@rs.lenovo.com.cn
chenx@rs.lenovo.com.cn
panhl@rs.lenovo.com.cn
maoln@rs.lenovo.com.cn
baowf@rs.lenovo.com.cn
cuix@rs.lenovo.com.cn
hell@rs.lenovo.com.cn
chenxf@rs.lenovo.com.cn
jinly@rs.lenovo.com.cn
hesz@rs.lenovo.com.cn
chenxh@rs.lenovo.com.cn
lill2@rs.lenovo.com.cn
chenlw@rs.lenovo.com.cn
lisx@rs.lenovo.com.cn

拿到用户密码，顺便查看了工资，额。。。。

漏洞证明：

3.发现了网盘帐号：
n多销售资料：

4内网分销帐号和密码：分销账号：0100015083 密码：124779**
5.百度网盘：
可能是出去玩的一些文件

6.电话会议资料邮箱：

登上去了，没发现啥东西，估计是临时文件吧。。。

修复方案：

进行安全教育吧，这次仅仅破了4个邮箱就发现了这么多东西，还有好几十个没破解呢，估计东西会更多

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-06-01 10:53

厂商回复：

感谢您对联想信息安全工作的关注与支持！
联想于2015年4月启用安全应急响应中心（LSRC），欢迎大家向我们反馈联想产品、服务和业务系统的安全漏洞，以帮助我们提升产品和业务的安全性。相关细则请登录安全应急响应中心站点(http://lsrc点lenovo点com )

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116676

漏洞标题：联想企业邮箱修改密码配置不当（导致内部大量敏感信息泄露）

相关厂商：联想

漏洞作者：路人甲

提交时间：2015-05-28 14:41

修复时间：2015-07-16 10:54

公开时间：2015-07-16 10:54

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116676

漏洞标题：联想企业邮箱修改密码配置不当（导致内部大量敏感信息泄露）

相关厂商：联想

漏洞作者： 路人甲

提交时间：2015-05-28 14:41

修复时间：2015-07-16 10:54

公开时间：2015-07-16 10:54

漏洞类型：系统/服务运维配置不当

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0116676"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云