当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129436

漏洞标题:海西天成网络TCMS政务版存在多处未授权访问

相关厂商:cncert国家互联网应急中心

漏洞作者: Aaron

提交时间:2015-07-31 13:59

修复时间:2015-09-18 17:46

公开时间:2015-09-18 17:46

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-08-04: 厂商已经确认,细节仅向厂商公开
2015-08-14: 细节向核心白帽子及相关领域专家公开
2015-08-24: 细节向普通白帽子公开
2015-09-03: 细节向实习白帽子公开
2015-09-18: 细节向公众公开

简要描述:

未设置访问权限导致

详细说明:

这两天看见乌云的奖励计划,拿个本土的CMS,练练手,期待有奖励。
福建海西天成网络有限公司独立自主开发的网站内容管理系统(TCMS);该套系统目前主要针对企业,集团,地产公司网站的特点进行定向开发,目前企业集团网站应用所需的全部功能需求,系统界面设计方便简洁,倡导“安全,绿色,新型”的理念,实施中“统一规划实施,统一标准规范,统一网络平台,统一安全管理”的基本原则,协助各个企业向“服务平台化,站点集群化”的特点发展,可扩展性可以满足不同企业信息整合及二次扩展应用需求。
不少政府网站都采用了这套CMS,

1.jpg


WooYun: 某通用建站程序存在SQL注入漏洞
WooYun: 某政务系统sql注入漏洞(影响省级部门网站和全省人防网站)
TCMS目前最新版已经修复了此前爆出的漏洞,却没有设置访问权限,导致未授权访问。
下面以两个采用新版TCMS的网站看看,未授权访问,其他采用最新版TCMS政务版的网站也都存在这样的问题,这里不在诉说。。。
www.fjyd.gov.cn
www.wys.gov.cn
后台地址: http://www.fjyd.gov.cn/manage/login.aspx
照理说manage目录下是访问不了,却在这个目录下发现可以访问的目录。

漏洞证明:

manage目录下的tj可以直接访问,是一个计数器。可直接更改计数器样式,计数器样式显示在首页。

2.jpg


可以查看访问下的IP/访问路径/操作系统/浏览器

3.jpg


可以查看用户的具体输入操作

4.jpg


修复方案:

设置访问权限

版权声明:转载请注明来源 Aaron@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-08-04 17:44

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给福建分中心,由福建分中心后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论