当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0212257

漏洞标题:一汽财务有限公司用户邮箱弱口令泄露大量信息

相关厂商:faw.com.cn

漏洞作者: 路人甲

提交时间:2016-05-24 12:51

修复时间:2016-07-09 08:20

公开时间:2016-07-09 08:20

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-24: 细节已通知厂商并且等待厂商处理中
2016-05-25: 厂商已经确认,细节仅向厂商公开
2016-06-04: 细节向核心白帽子及相关领域专家公开
2016-06-14: 细节向普通白帽子公开
2016-06-24: 细节向实习白帽子公开
2016-07-09: 细节向公众公开

简要描述:

一汽财务有限公司于1987年12月经中国人民银行批准成立,原名为解放汽车工业财务公司,企业类型为有限责任公司,是中国第一汽车集团公司内唯一一家非银行金融机构。截至2009年末,公司注册资本为11.288亿元人民币,资产规模接近115亿元,员工412人。二十多年来,一汽财务有限公司按照国家银监会规定的功能定位,坚持“依托集团、服务集团、发展集团”的经营宗旨,本着“诚信、稳健、高效、创新”的经营理念,为一汽集团成员单位的生产经营、技术改造和产品销售提供金融支持,有利地支持了一汽集团的发展。

详细说明:

使用的IBM的lotus邮箱系统,使用常用500用户名+用户名123的密码进行爆破,得到两个用户名,其中一个用户可以登录,

faf.com.cn.png


faf001.png


faf002.png


faf003.png


faf004.png


faf005.png

漏洞证明:

faf.com.cn.png


faf001.png


faf002.png


faf003.png


faf004.png


faf005.png

修复方案:

杜绝弱口令,培训员工信息安全意识 ,如果是离职员工,及时删除他们的信息。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-25 08:16

厂商回复:

您好,我们已经责任相关人员加强密码复杂度管理,修复弱口令问题,非常感谢您的关注!

最新状态:

暂无

漏洞评价:

评价