漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新疆民政部门某系统漏洞(1000W+低保信息/可操作低保资金)
提交时间:2015-09-18 14:18
修复时间:2015-11-04 19:46
公开时间:2015-11-04 19:46
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-20: 厂商已经确认,细节仅向厂商公开
2015-09-30: 细节向核心白帽子及相关领域专家公开
2015-10-10: 细节向普通白帽子公开
2015-10-20: 细节向实习白帽子公开
2015-11-04: 细节向公众公开
简要描述:
新疆民政部门某系统漏洞(1000W+低保信息/可操作低保资金)
详细说明:
**.**.**.**/
**.**.**.**
涉及两台服务器
可直接操作资金
涉及全省低保资金
还涉及国家接口
**.**.**.**/admin/login.jsp
金蝶的中间件
弱口令 admin admin
该平台可以部署war木马,已经被人部署过了
shell
**.**.**.**/test/test.jsp
**.**.**.**/manager/ 具体密码 不清楚,有一个未加密
随意看了三个表,涉及上千万人口信息,金额,身份证,名字,地址等等,表中数据什么都没动!!!
此处为管理员信息,10000多人的管理员,涉及全省
随意看了三个表,涉及上千万人口信息,金额,身份证,名字,地址等等,表中数据什么都没动!!!
我们登陆系统看看
aili debug1234
该系统可以直接对村民进行低保资金操作,以及审核,登记等
漏洞证明:
修复方案:
查看第一次被shell时候数据情况,删除shell
由于涉及太多,影响太大,这里标题做隐藏。
大力清理弱口令,修补,把管理系统放在内网,通过VPN进入
版权声明:转载请注明来源 DNS@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-09-20 19:45
厂商回复:
CNVD确认所述漏洞情况,已经转由CNCERT下发新疆分中心,由其后续协调网站管理单位处置。
最新状态:
暂无
漏洞评价:
评论
-
2015-09-16 14:20 |
10457793 ( 普通白帽子 | Rank:967 漏洞数:144 | 说好的借,为什么从来不还?O(∩_∩)O)
-
2015-10-28 17:03 |
DNS ( 普通白帽子 | Rank:415 漏洞数:47 | 猜猜我是谁?)