当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094586

漏洞标题:中国航空集团财务有限责任公司多系统弱口令导致内网财务报表泄露

相关厂商:中国国际航空股份有限公司

漏洞作者: 浮世浮城

提交时间:2015-01-29 18:05

修复时间:2015-03-15 18:06

公开时间:2015-03-15 18:06

漏洞类型:服务弱口令

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经确认,细节仅向厂商公开
2015-02-08: 细节向核心白帽子及相关领域专家公开
2015-02-18: 细节向普通白帽子公开
2015-02-28: 细节向实习白帽子公开
2015-03-15: 细节向公众公开

简要描述:

中国航空集团财务有限责任公司多系统弱口令导致内网财务报表泄露,cms弱口令 绝对路径暴露 整站文件模版可直接下载。 未深入

详细说明:

问题url:https://vpn.airchinaf.com/prx/000/http/localhost/login
test test

QQ截图20150129141200.jpg


QQ截图20150129155429.jpg


QQ截图20150129155638.jpg


这里登录
admin 123456

QQ截图20150129155657.jpg


cms
admin 123456

QQ截图20150129155933.jpg


QQ截图20150129155955.jpg


QQ截图20150129160036.jpg


QQ截图20150129160125.jpg


QQ截图20150129160136.jpg


QQ截图20150129160140.jpg


QQ截图20150129160210.jpg


QQ截图20150129160342.jpg

QQ截图20150129160315.jpg


QQ截图20150129160409.jpg


QQ截图20150129160455.jpg


QQ截图20150129160514.jpg


财务报表

QQ截图20150129160558.jpg


下载一个看看

QQ截图20150129160653.jpg


ip扫了一下 但是都要下载客户端 我也就不试了 估计弱口令还是会有很多

QQ截图20150129155322.jpg


QQ截图20150129161251.jpg


QQ截图20150129161414.jpg


QQ截图20150129161526.jpg


QQ截图20150129161608.jpg


漏洞证明:

问题url:https://vpn.airchinaf.com/prx/000/http/localhost/login
test test

QQ截图20150129141200.jpg


QQ截图20150129155429.jpg


QQ截图20150129155638.jpg


这里登录
admin 123456

QQ截图20150129155657.jpg


cms
admin 123456

QQ截图20150129155933.jpg


QQ截图20150129155955.jpg


QQ截图20150129160036.jpg


QQ截图20150129160125.jpg


QQ截图20150129160136.jpg


QQ截图20150129160140.jpg


QQ截图20150129160210.jpg


QQ截图20150129160342.jpg

QQ截图20150129160315.jpg


QQ截图20150129160409.jpg


QQ截图20150129160455.jpg


QQ截图20150129160514.jpg


财务报表

QQ截图20150129160558.jpg


下载一个看看

QQ截图20150129160653.jpg


ip扫了一下 但是都要下载客户端 我也就不试了 估计弱口令还是会有很多

QQ截图20150129155322.jpg


QQ截图20150129161251.jpg


QQ截图20150129161414.jpg


QQ截图20150129161526.jpg


QQ截图20150129161608.jpg


修复方案:

修复

版权声明:转载请注明来源 浮世浮城@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-01-29 20:07

厂商回复:

感谢对国航安全的支持和帮助!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-15 23:45 | 静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)

    建议厂商对esx4升级吧。。。我记得这个有人说过有漏洞