漏洞概要
关注数(24)
关注此漏洞
漏洞标题:用友集团某平台弱口令导致泄漏大量敏感信息(机密信息)
提交时间:2015-07-03 08:31
修复时间:2015-07-08 08:32
公开时间:2015-07-08 08:32
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-07-03: 细节已通知厂商并且等待厂商处理中
2015-07-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
一个低微的弱口令 泄漏出多少机密信息啊
用友软件:提交了多少个漏洞你都忽略了,现在这个漏洞你该不会又忽略吧
此次与贵公司相关的任何信息并未泄漏他人,请及时修复以免被不法人员利用,谢绝查水表
详细说明:
http://ufsdp.ufida.com/(用友集团开发管理部YSDP平台) 存在测试员账户 用户test 密码test
导致下面外网能访问的模块都能访问并且存在最新数据
泄漏重要资料在于一个叫:YSDP研发资产借阅系统 从2010-9-19 16:42:14到目前为止一个4769条数据,其中的附件泄漏了有关很多行业的机密文档,用友软件你罪过..罪过啊.....
漏洞证明:
类似这种附件,如果泄漏就太严重了吧..
以下是收集部分工作人员资料:
邮件地址可以用做字典来爆破登录(用友很多站是用邮件登录)随便放点出来..至于有多少,没时间去整理你们看着办吧...........
修复方案:
1.修改弱口令
2.带商业机密的信息不要开通外网访问
3.求不忽略,求给高点rank值
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-08 08:32
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
2015-07-03 10:36 |
Hax0rs ( 路人 | Rank:9 漏洞数:4 | Hax0rs)
-
2015-07-03 11:05 |
Razor2012 ( 路人 | Rank:12 漏洞数:3 | 不会渗透的自动化测试工程师不是好厨师)
-
2015-07-03 12:14 |
漫步云端 ( 普通白帽子 | Rank:196 漏洞数:33 | I'm Ramble!)
-
2015-07-03 17:41 |
指尖上的故事 ( 普通白帽子 | Rank:347 漏洞数:77 | ...........)
-
2015-07-08 08:40 |
幻老头儿 ( 普通白帽子 | Rank:133 漏洞数:30 | 新手上路。)
-
2015-07-08 18:01 |
指尖上的故事 ( 普通白帽子 | Rank:347 漏洞数:77 | ...........)
草....真不要脸 偷偷修复了给我一个无影响厂商忽略