当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124262

漏洞标题:用友集团某平台弱口令导致泄漏大量敏感信息(机密信息)

相关厂商:用友软件

漏洞作者: 指尖上的故事

提交时间:2015-07-03 08:31

修复时间:2015-07-08 08:32

公开时间:2015-07-08 08:32

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-03: 细节已通知厂商并且等待厂商处理中
2015-07-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一个低微的弱口令 泄漏出多少机密信息啊
用友软件:提交了多少个漏洞你都忽略了,现在这个漏洞你该不会又忽略吧
此次与贵公司相关的任何信息并未泄漏他人,请及时修复以免被不法人员利用,谢绝查水表

详细说明:

http://ufsdp.ufida.com/(用友集团开发管理部YSDP平台) 存在测试员账户 用户test 密码test
导致下面外网能访问的模块都能访问并且存在最新数据
泄漏重要资料在于一个叫:YSDP研发资产借阅系统 从2010-9-19 16:42:14到目前为止一个4769条数据,其中的附件泄漏了有关很多行业的机密文档,用友软件你罪过..罪过啊.....

漏洞证明:

1.png

2.png

3.png

4.png

5.jpg

5.png

6.png

7.png

8.png

999.jpg

类似这种附件,如果泄漏就太严重了吧..
以下是收集部分工作人员资料:
邮件地址可以用做字典来爆破登录(用友很多站是用邮件登录)随便放点出来..至于有多少,没时间去整理你们看着办吧...........

姓名:	考希正	 邮件:	kaoxz@yonyou.com	 电话:	82332598
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	汪发清	 邮件:	wangfq@yonyou.com	 电话:	62307201
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	張勇	 邮件:	zhangyongu@yonyou.com	 电话:	853-28787375
公司:	用友软件澳门有限公司	 部门:	開發中心	
姓名:	张平怡	 邮件:	zhangpy@yonyou.com	 电话:	62307100
公司:	用友网络科技中央大客户事业本部	 部门:	中央-项目二部	
姓名:	张贺伟	 邮件:	zhanghw@yonyou.com	 电话:	62437570
公司:	沈阳用友软件有限公司	 部门:	客户化开发		
姓名:	吴然	 邮件:	wuran2@yonyou.com	 电话:	67257008
公司:	用友网络科技股份有限公司苏州分公司	 部门:	咨询与售前方案中心	
姓名:	丘展飞	 邮件:	hkfrankyau@yonyou.com	 电话:	53717447
公司:	用友软件香港有限公司	 部门:	運維服務部	
姓名:	王家申	 邮件:	wangjsc@yonyou.com	 电话:	无
公司:	用友金融信息技术有限公司	 部门:	北方证券综合ABU(2015)		
姓名:	陈国钢	 邮件:	chengge@yonyou.com	 电话:	(023)88503087
公司:	重庆用友软件有限公司	 部门:	开发部		
姓名:	寿磊	 邮件:	shoulei@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	产业链伙伴部		
姓名:	孙晓军	 邮件:	sunxj@yonyou.com	 电话:	62437212
公司:	军工客户事业部	 部门:	军工-技术及开发部		
姓名:	何海林	 邮件:	hehlb@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	流通与贸易ABU		
姓名:	金新蕾	 邮件:	jinxlb@yonyou.com	 电话:	021-51167788
公司:	用友网络科技股份有限公司上海分公司	 部门:	客户化开发	
姓名:	马福辉	 邮件:	bjmh@yonyou.com	 电话:	62307038
公司:	用友广信网络科技有限公司	 部门:	资金业务部	
姓名:	唐浩翔	 邮件:	tanghxa@yonyou.com	 电话:	86919666
公司:	用友网络科技股份有限公司四川分公司	 部门:	公共开发部		
姓名:	马立	 邮件:	mali@yonyou.com	 电话:	62436544
公司:	用友网络科技股份有限公司	 部门:	HCM与协同实施管理部	
姓名:	邓亮	 邮件:	dengliang1@yonyou.com	 电话:	0731-88339868
公司:	湖南用友软件有限公司	 部门:	实施与开发管理资源中心		
姓名:	宗文韬	 邮件:	zongwt@yonyou.com	 电话:	无
公司:	江西用友软件有限公司	 部门:	开发集成部	
姓名:	李晓	 邮件:	lixiaoa@yonyou.com	 电话:	0951-6087606
公司:	用友网络科技股份有限公司宁夏分公司	 部门:	战略客户经营2部		
姓名:	陈志峰	 邮件:	chenzhfc@yonyou.com	 电话:	82605688
公司:	用友优普信息技术有限公司	 部门:	北分U8开发部		
姓名:	罗贵元	 邮件:	westlgy@yonyou.com	 电话:	028-86919666
公司:	用友网络科技股份有限公司四川分公司	 部门:	BAP开发部		
姓名:	唐蠡	 邮件:	tangli@yonyou.com	 电话:	88503085
公司:	重庆用友软件有限公司	 部门:	开发部	
姓名:	吕忠跃	 邮件:	lvzhy@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	ABU客户一部		
姓名:	孙振	 邮件:	sunzhena@yonyou.com	 电话:	62430587
公司:	UFIDA (SINGAPORE) PR	 部门:	新内-实施部		
姓名:	林先文	 邮件:	linxw@yonyou.com	 电话:	0591-83302166
公司:	用友网络科技股份有限公司福州分公司	 部门:	E-HR实施部		
姓名:	李军建	 邮件:	lijjp@yonyou.com	 电话:	62439514
公司:	用友网络科技股份有限公司河北分公司	 部门:	开发与集成中心		
姓名:	欧阳志标	 邮件:	ouyangzhb@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	流通与贸易ABU		
姓名:	张智	 邮件:	zhangzhic@yonyou.com	 电话:	22237666
公司:	用友优普信息技术有限公司广东分公司	 部门:	东莞资源组		
姓名:	余灿华	 邮件:	yuchb@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	流通与贸易ABU		
姓名:	尹泽宇	 邮件:	yinzy@yonyou.com	 电话:	62307201
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	姜巍	 邮件:	whjw@yonyou.com	 电话:	02037582188
公司:	广东用友软件有限公司	 部门:	交付中心管理岗		
姓名:	尹航	 邮件:	yinhangc@yonyou.com	 电话:	020-37582188
公司:	广东用友软件有限公司	 部门:	财务与集成开发ABU		
姓名:	余美容	 邮件:	yumr@yonyou.com	 电话:	0591-83302166
公司:	用友网络科技股份有限公司福州分公司	 部门:	开发部		
姓名:	董真	 邮件:	dongzhena@yonyou.com	 电话:	021-51167788
公司:	用友网络科技股份有限公司上海分公司	 部门:	房地产实施部		
姓名:	李保平	 邮件:	libpb@yonyou.com	 电话:	62431199
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	杨方鹏	 邮件:	yangfp1@yonyou.com	 电话:	62307100
公司:	用友网络科技中央大客户事业本部	 部门:	央本-HR业务推进部		
姓名:	王玖	 邮件:	wangjiu@yonyou.com	 电话:	04778319129
公司:	用友网络科技股份有限公司鄂尔多斯分公司	 部门:	支持服务部		
姓名:	徐瑞	 邮件:	xuruic@yonyou.com	 电话:	0769-22237666
公司:	用友网络科技股份有限公司东莞分公司	 部门:	实施与开发资源中心	
姓名:	吴然	 邮件:	wuran2@yonyou.com	 电话:	67257008
公司:	用友软件股份有限公司苏州分公司	 部门:	咨询与售前方案中心		
姓名:	于军鹏	 邮件:	yujpa@yonyou.com	 电话:	62307201
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	马国飞	 邮件:	magfc@yonyou.com	 电话:	0791-82126688
公司:	用友网络科技股份有限公司湖北分公司	 部门:	企业互联网技术开发部		
姓名:	潘思洋	 邮件:	pansya@yonyou.com	 电话:	7037055
公司:	用友网络科技股份有限公司山西分公司	 部门:	客户化开发部2015		
姓名:	王清峰	 邮件:	wangqfa@yonyou.com	 电话:	0536-8295736
公司:	用友网络科技股份有限公司潍坊分公司	 部门:	实施与开发管理资源中心		
姓名:	雷炜	 邮件:	tylw@yonyou.com	 电话:	0351-7037053
公司:	用友网络科技股份有限公司山西分公司	 部门:	咨询实施部		
姓名:	刘湘平	 邮件:	liuxpa@yonyou.com	 电话:	0731-88966868
公司:	用友优普信息技术有限公司湖南分公司	 部门:	客户化开发部		
姓名:	陈扬斌	 邮件:	chenybf@yonyou.com	 电话:	000000000000000
公司:	用友网络科技股份有限公司厦门分公司	 部门:	支持服务部		
姓名:	周岚	 邮件:	ydzhoulan@yonyou.com	 电话:	18966161020
公司:	浙江用友软件有限公司	 部门:	开发部		
姓名:	丁志鹏	 邮件:	dingzhp@yonyou.com	 电话:	0595-29017131
公司:	用友网络科技股份有限公司泉州分公司	 部门:	实施与开发管理资源中心		
姓名:	尹泽宇	 邮件:	yinzy@yonyou.com	 电话:	62307201
公司:	用友网络科技股份有限公司北京分公司	 部门:	研发中心		
姓名:	范朝晖	 邮件:	fanzh@Ufida.com.cn	 电话:	62435020
公司:	用友软件股份有限公司	 部门:	U9供应链分析设计部	 
姓名:	傅刚萍	 邮件:	fugp@ufida.com.cn	 电话:	88000513
公司:	用友软件股份有限公司绍兴分公司	 部门:	U8支持服务部	 
姓名:	石国庆	 邮件:	shigq@ufida.com.cn	 电话:	62307201
公司:	用友软件中央大客户部	 部门:	客户开发部	 
姓名:	朱金华	 邮件:	zhujh1@ufida.com.cn	 电话:	1
公司:	用友软件股份有限公司	 部门:	央-HR业务部	 
姓名:	欧阳军	 邮件:	ouyangj@ufida.com.cn	 电话:	38674
公司:	用友软件股份有限公司	 部门:	GBU大型客户支持服务业务部	 
姓名:	茆玉龙	 邮件:	maoyl@ufida.com.cn	 电话:	02584663149
公司:	用友软件股份有限公司南京分公司	 部门:	NC实施部


修复方案:

1.修改弱口令
2.带商业机密的信息不要开通外网访问
3.求不忽略,求给高点rank值

版权声明:转载请注明来源 指尖上的故事@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-08 08:32

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-03 10:36 | Hax0rs ( 路人 | Rank:9 漏洞数:4 | Hax0rs)

    坐等忽略

  2. 2015-07-03 11:05 | Razor2012 ( 路人 | Rank:12 漏洞数:3 | 不会渗透的自动化测试工程师不是好厨师)

    谢绝查水表

  3. 2015-07-03 12:14 | 漫步云端 ( 普通白帽子 | Rank:196 漏洞数:33 | I'm Ramble!)

    坐等忽略

  4. 2015-07-03 17:41 | 指尖上的故事 ( 普通白帽子 | Rank:347 漏洞数:77 | ...........)

    这尼玛忽略就没话可说了

  5. 2015-07-08 08:40 | 幻老头儿 ( 普通白帽子 | Rank:133 漏洞数:30 | 新手上路。)

    危害等级:无影响厂商忽略

  6. 2015-07-08 18:01 | 指尖上的故事 ( 普通白帽子 | Rank:347 漏洞数:77 | ...........)

    草....真不要脸 偷偷修复了给我一个无影响厂商忽略