当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099500

漏洞标题:首都标准网某平台漏洞导致影响大量国家部门及公司产品标准制定(涉及部委用户)

相关厂商:首都标准网

漏洞作者: 路人甲

提交时间:2015-03-04 18:03

修复时间:2015-04-18 18:04

公开时间:2015-04-18 18:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-04: 细节已通知厂商并且等待厂商处理中
2015-03-09: 厂商已经确认,细节仅向厂商公开
2015-03-19: 细节向核心白帽子及相关领域专家公开
2015-03-29: 细节向普通白帽子公开
2015-04-08: 细节向实习白帽子公开
2015-04-18: 细节向公众公开

简要描述:

求20rank?

详细说明:

首都标准网某平台漏洞导致影响大量国家部门及公司产品标准制定(国家电网,中石化,农业部,水利部,测绘局历历在目)。
命令地址:http://202.106.162.194:8080/stdmis/user/logout 内网信息泄露

QQ图片20150304172312.png

QQ图片20150304172331.png


漏洞证明:

弱口令:http://202.106.162.194:8080/stdmis/user/logout admin;admin
进入后台,我来制定标准。

QQ图片20150304170113.jpg

QQ图片20150304170921.jpg

QQ图片20150304171131.png

QQ图片20150304171328.png

QQ图片20150304171448.png


可群发信息,呵呵呵。。。。。

QQ图片20150304171638.jpg

QQ图片20150304171913.jpg


修复方案:

求20rank?

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-03-09 12:52

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向经信委通报。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-04 18:05 | Mik3y_14 ( 普通白帽子 | Rank:181 漏洞数:29 | 愿君多采撷,此物最相思。)

    不用求.给!

  2. 2015-03-04 18:37 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    必须20rank啊

  3. 2015-03-04 20:39 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    一开始让我评论你的时候,其实我是拒绝的。我跟大家讲,我拒绝,因为我根本不会评论,大家跟我讲:评完加特技,评论duang~duang~duang~ 我的评论,假的假的是假的,是特技的评论,是乱评的成分,是评论的特技,duang~

  4. 2015-03-10 15:45 | 昔阳 ( 路人 | Rank:1 漏洞数:1 | 菜鸟来装逼)

    你好,您的快递,请签收