漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141063
漏洞标题:恒热集团文件遍历导致集团总部以及旗下7个子企业员工信息可泄漏(职位+姓名+考勤信息)
相关厂商:恒热集团
漏洞作者: Baby91DIY
提交时间:2015-09-14 14:40
修复时间:2015-10-29 14:42
公开时间:2015-10-29 14:42
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:2
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
集团历经24年的发展,业务范围涵盖建安业、地产业、制造业、综合服务业等四大主营板块的大型企业集团。恒热集团注册资本总额4.585亿元,有8家子公司,5家分公司,综合实力强大,是河北省知名企业,是开发区“纳税大户”企业.
详细说明:
直接图文演示:
漏洞所在链接:
http://www.qhdhr.com.cn:8081/
考勤信息链接:
http://www.qhdhr.com.cn:8081/hr_cardshow/
其实这个子目录是OA系统的一个子功能,但是因为允许目录遍历导致越权访问:
信息包括集团总部和7个子公司:
所有员工信息(职位---姓名):
考勤信息:
漏洞证明:
直接图文演示:
漏洞所在链接:
http://www.qhdhr.com.cn:8081/
考勤信息链接:
http://www.qhdhr.com.cn:8081/hr_cardshow/
其实这个子目录是OA系统的一个子功能,但是因为允许目录遍历导致越权访问:
信息包括集团总部和7个子公司:
所有员工信息(职位---姓名):
考勤信息:
修复方案:
设置权限
版权声明:转载请注明来源 Baby91DIY@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝