当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161982

漏洞标题:海丰国际所有人身份证邮箱密码家庭地址工资公司每年数亿利润等等敏感信息可被泄漏

相关厂商:海丰国际控股有限公司

漏洞作者: wudu

提交时间:2015-12-17 14:32

修复时间:2016-02-01 10:51

公开时间:2016-02-01 10:51

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-17: 细节已通知厂商并且等待厂商处理中
2015-12-21: 厂商已经确认,细节仅向厂商公开
2015-12-31: 细节向核心白帽子及相关领域专家公开
2016-01-10: 细节向普通白帽子公开
2016-01-20: 细节向实习白帽子公开
2016-02-01: 细节向公众公开

简要描述:

海丰国际控股有限公司是一家亚洲区内领先的航运物流企业。公司员工涉及到亚洲多个国家人员,包括董事长等所有人员个人家庭信息,身份证、电话、住址,银行卡,工资等等敏感信息可被查看。公司每年数亿利润,公司报价等等高度敏感信息可被下载查看。
因为涉及太多隐私,所以所有图片都打码了。
求礼品:)

详细说明:

公司OA,HR系统http://**.**.**.**:8080/SitcHR/存在Jboss反序列化漏洞。
服务器装有杀毒软件,通过两个小jsp查询目录和数据:

dir.png


db-user-pass.png


并且服务器是administrator权限,虽然内网,但可以进去漫游,因为涉及隐私已经太多,就没有继续恶意深入。

admin.jpg


gongzi.png


涉及到公司1000多人的账户邮箱密码等信息:

用户数量.png


下面看董事等高管的信息,可看手机号码,银行卡,身份证,家庭关系,收入等等:

zhongyao.png


银行账户.png


拿到所有用户邮箱密码后,可以登录董事的邮箱,查看一年数亿利润和商业机密等等信息:

zhongyao3.png


漏洞证明:

已证明,希望尽快修复。

修复方案:

删除invoker/JMXInvokerServlet模块,其他问题自查

版权声明:转载请注明来源 wudu@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-12-21 18:01

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无


漏洞评价:

评价