当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158778

漏洞标题:邳州市人力资源和社会保障网泄露大量用户数据

相关厂商:邳州市人力资源和社会保障网

漏洞作者: 小良不能说的秘密

提交时间:2015-12-08 01:08

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-11: 厂商已经确认,细节仅向厂商公开
2015-12-21: 细节向核心白帽子及相关领域专家公开
2015-12-31: 细节向普通白帽子公开
2016-01-10: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

泄露大量用户数据,已脱裤

详细说明:

邳州市人力资源和社会保障网http://**.**.**.**/是个政府网站,大体扫描了下,防注入做的很好,还会记录注入的类型、时间和攻击者的ip地址。
但是他忽略了一个重要细节,那就是ewebeditor编辑器。
默认路径和后台,得到账号和密码后登录
编辑器是2.8的版本还有个遍历目录的漏洞。可看到有大量的旁站
----------------------------------------------------------------------
首先新增样式

wee222.PNG


添加图片类型

3.PNG


保存后,新增一个工具栏,如下图

3-9.PNG


点击进行预览

4.PNG


选择一个asp大马进行上传。
上传后,访问大马地址get shell

5.PNG


看到数据库后进行下载,查看
有企业数据(账号、密码、公司名称、年收入等)

警惕1.PNG


警惕1-1.PNG


用户详细资料(姓名、性别、年龄、出生日期、身份证号、qq、邮箱、家庭地址等)

警惕2.PNG


警惕2-1.PNG


漏洞证明:

警惕1.PNG


警惕1-1.PNG


警惕2.PNG


警惕2-1.PNG

修复方案:

***************改路径***********************

版权声明:转载请注明来源 小良不能说的秘密@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-12-11 16:56

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给江苏分中心,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评价