当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136379

漏洞标题:一不小心发现奥鹏远程教育中心有限公司所有人手机&邮箱&分机号和姓名(也包含总经理哦)

相关厂商:open.com.cn

漏洞作者: 路人甲

提交时间:2015-08-23 23:02

修复时间:2015-10-08 08:56

公开时间:2015-10-08 08:56

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-23: 细节已通知厂商并且等待厂商处理中
2015-08-24: 厂商已经确认,细节仅向厂商公开
2015-09-03: 细节向核心白帽子及相关领域专家公开
2015-09-13: 细节向普通白帽子公开
2015-09-23: 细节向实习白帽子公开
2015-10-08: 细节向公众公开

简要描述:

北京奥鹏远程教育中心有限公司所有员工手机、邮箱、分机号、姓名等信息泄露。(麻烦wooyun的大哥给打下码...)

详细说明:

机缘巧合,缘分哦。

漏洞证明:

真是缘分哦,今天发现奥鹏教育某位管理员的邮箱地址(langyn@mail.open.com.cn),于是用google搜索了下:

6.png


发现了一个xls文件,于是就下载看了下,哦,就这样得到了所有员工手机、邮箱、分机号、姓名等信息。(总经理也有哦)
总经理在六层...(六层的部分真不少啊)

7.png


一层楼员工与部门:

11.png


三层楼员工信息:

12.png


四层楼员工信息:

13.png


五层楼员工信息:

14.png


...
全国各学习直属中心(全国各个地区的总监、主任.)

15.png


渠道服务中心驻外人员联系表

18.png


还有好多,就不截图了!

修复方案:

屏蔽外部访问。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-08-24 08:54

厂商回复:

已提交相关人员处理

最新状态:

暂无

漏洞评价:

评论