漏洞概要
关注数(24)
关注此漏洞
漏洞标题:天音通信内网小漫游+注入(影响百万货运资料)
提交时间:2016-05-24 21:05
修复时间:2016-07-10 16:00
公开时间:2016-07-10 16:00
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-05-24: 细节已通知厂商并且等待厂商处理中
2016-05-26: 厂商已经确认,细节仅向厂商公开
2016-06-05: 细节向核心白帽子及相关领域专家公开
2016-06-15: 细节向普通白帽子公开
2016-06-25: 细节向实习白帽子公开
2016-07-10: 细节向公众公开
简要描述:
天音通信发展有限公司,自1996年12月成立伊始,便以强劲的发展势头迅速崛起,现已成为中国最大规模、最具影响力的移动通信产品分销商之一。现拥有摩托罗拉、诺基亚、三星、索爱等知名品牌手机的全国一级代理权,并已成为摩托罗拉、诺基亚战略合作伙伴,同时又是摩托罗拉、三星、阿尔卡特等多个国际和国内知名品牌的指定维修代理商。公司拥有具备高度专业水准和敬业精神的员工队伍,公司现有员工3000余人,平均年龄29岁,80%具有大专以上学历,有遍布全国的30家分公司和135办事处。
详细说明:
https://**.**.**.**/zhgo116/fancy/blob/32d6bc6a4f35dc6eae8c3cc6890c17289c9533f0/FancyInterface/src/main/java/cn/telling/tools/sendMail/StartMain.java
在这里泄露了一则密码
邮箱没什么利用的,看到一个VPN口,域验证的。。拨入
bjdc02.**.**.**.** [**.**.**.**]
bjdc01.**.**.**.** [**.**.**.**]
两台DC
内网人力资源平台
再发一则注入
http://cys2.**.**.**.**/ClientDemandingInfor/Frm_AccountLogin_Validate.aspx
usercode存在注入
不具体跑了
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2016-05-26 15:57
厂商回复:
CNVD未直接复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。
最新状态:
暂无
漏洞评价:
评价