当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147640

漏洞标题:东软某漏洞可入内网观摩

相关厂商:东软集团

漏洞作者: hecate

提交时间:2015-10-18 21:50

修复时间:2015-12-04 10:46

公开时间:2015-12-04 10:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-18: 细节已通知厂商并且等待厂商处理中
2015-10-20: 厂商已经确认,细节仅向厂商公开
2015-10-30: 细节向核心白帽子及相关领域专家公开
2015-11-09: 细节向普通白帽子公开
2015-11-19: 细节向实习白帽子公开
2015-12-04: 细节向公众公开

简要描述:

低调

详细说明:

1.来到东软社区http://sns.neusoft.com/ ,此处登录无验证码,无密码错误限制
使用本屌的分类字典 http://zone.wooyun.org/content/23175
进行fuzzing成功得到两个账号

zhangrl       neusoft@123
yaoyf         neusoft@123


2.登录vpn,进入内网
vpn地址 https://portal.neusoft.com

图像 1.png


邮箱

图像 2.png


图像 3.png


图像 4.png


图像 5.png


工资好高啊啊啊~

图像 8_meitu_1.jpg

漏洞证明:

活捉董事长

图像 6_meitu_2.jpg

修复方案:

增加验证码,限制密码错误次数

版权声明:转载请注明来源 hecate@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-10-20 10:45

厂商回复:

感谢作者提供的漏洞信息。我们已经通知相关员工修改弱口令,同时加强员工的信息安全意识培训。另外对于出现问题的系统,已经要求相关部门进行紧急修复。再次感谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-18 22:25 | hecate ( 普通白帽子 | Rank:511 漏洞数:86 | ®高级安全工程师 | WooYun认证√)

    审核真是好文采

  2. 2015-10-19 08:56 | 染血の雪 ( 普通白帽子 | Rank:193 漏洞数:30 | 击缻)

    恩,以后内网名字就这么取

  3. 2015-10-20 11:32 | hecate ( 普通白帽子 | Rank:511 漏洞数:86 | ®高级安全工程师 | WooYun认证√)

    @东软集团 有礼物吗?