当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119659

漏洞标题:ABB中国某处安全漏洞可导致上万合同信息泄露

相关厂商:ABB中国

漏洞作者: 机器猫

提交时间:2015-06-11 11:43

修复时间:2015-07-26 11:44

公开时间:2015-07-26 11:44

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

ABB集团位列全球500强企业,集团总部位于瑞士苏黎世。ABB由两个历史100多年的国际性企业瑞典的阿西亚公司(ASEA)和瑞士的布朗勃法瑞公司(BBC Brown Boveri)在1988年合并而成。两公司分别成立于1883年和1891年。ABB是电力和自动化技术领域的领导厂商。ABB的技术可以帮助电力、公共事业和工业客户提高业绩,同时降低对环境的不良影响。ABB集团业务遍布全球100多个国家,拥有13万名员工,2010年销售额高达320亿美元。

详细说明:

http://cndmx-srvbol.abb.com.cn/OrderPrint.aspx?OrderID=xxxx
经测试
1000~10100订单是存在的。

漏洞证明:

例如:
http://cndmx-srvbol.abb.com.cn/OrderPrint.aspx?OrderID=3853
http://cndmx-srvbol.abb.com.cn/OrderPrint.aspx?OrderID=4853
http://cndmx-srvbol.abb.com.cn/OrderPrint.aspx?OrderID=6853

证明1.png

证明2.png

证明3.png

修复方案:

修复

版权声明:转载请注明来源 机器猫@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论