当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094067

漏洞标题:易我我易终端输入法漏洞导致获取PC管理权限

相关厂商:易我我易

漏洞作者: 可爱的小企鹅

提交时间:2015-01-26 22:59

修复时间:2015-04-26 23:00

公开时间:2015-04-26 23:00

漏洞类型:默认配置不当

危害等级:中

自评Rank:6

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-30: 厂商已经确认,细节仅向厂商公开
2015-02-02: 细节向第三方安全合作伙伴开放
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-26: 细节向公众公开

简要描述:

某日,路过一超市,看到一个易我我易的终端,可以刷身份证,貌似还可以刷银行卡,预定机票,存快递,取快递,交话费,查询银行卡余额,反正功能多多,于是想看看其安全性,没有想到三分钟不到,就拿到了管理权限,这个终端也太好撸了吧,想想可以刷银行卡,还可以定机票消费这些,好吓人哦。

详细说明:

QQ图片20150126204821.jpg


对就是这个终端,我们在近看一点

QQ图片20150126204922.jpg


开始撸,点击管理员登陆

2222.jpg


1111309.jpg


如果想远程控制他,直接下个配置好的远控运行,都不用免杀了,这玩意什么都没有装,就是个撸的,拍了照,赶快关了,我可不是坏人

漏洞证明:

119.png


11111.jpg


修复方案:

我不是程序员,你比我更专业

版权声明:转载请注明来源 可爱的小企鹅@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-30 11:06

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-26 23:10 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    绕过令是的。易我我易我易易我

  2. 2015-01-27 03:38 | laoyao ( 路人 | Rank:14 漏洞数:5 | ด้้้้้็็็็็้้้้้็็็็...)

    好好绕绕绕绕绕绕口口哦

  3. 2015-04-27 02:25 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

    好屌啊。 感觉大神无处不在 现代社会无处不有的科技设备 走上前 分分钟搞定 卧槽。 世界会乱吗?