漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某地区96333电梯应急处置服务平台可爆破/越权/大量内部信息外泄(涉及政企/银行等敏感企业)
漏洞作者: 小龙
提交时间:2016-05-29 11:29
修复时间:2016-07-15 17:50
公开时间:2016-07-15 17:50
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-05-29: 细节已通知厂商并且等待厂商处理中
2016-05-31: 厂商已经确认,细节仅向厂商公开
2016-06-10: 细节向核心白帽子及相关领域专家公开
2016-06-20: 细节向普通白帽子公开
2016-06-30: 细节向实习白帽子公开
2016-07-15: 细节向公众公开
简要描述:
现在广州、杭州、西安等地已经开通[1]
今年,质检总局将全面开展电梯安全风险大排查,对“问题电梯”进行评估建档,逐一评估安全风险,逐一制定整治方案,组织力量集中攻坚、消除风险。
质检总局局长支树平16日在上海举行的全国质量监督检验检疫工作会议上作上述表示。他说,质检总局对“无物管、无维保、无维修资金”的电梯,将通报地方政府,联合有关部门,挂牌督办。
支树平表示,质检总局将构建长效机制,在全国大力推广“96333”电梯应急平台,中等以上城市力争今年全覆盖;推进电梯安全监管重点前移,从控制电梯事故率逐步转移到降低电梯故障率;加快电梯规章规范标准制修订,推进电梯责任保险,构建“企业全面负责,政府统一领导,部门联合监管,检验技术把关,社会广泛参与”的多元共治格局。
详细说明:
他们的新闻
西安5万电梯获“身份证” 电梯应急救援拨96333凭身份号码
西安被困电梯拨96333 报电梯识别码可迅速定位
对,确实方便
http://**.**.**.**/
直接爆破
密码均为123456
还有很多,不一一演示了
随意登录几个
gaoyue
chenwei
好多都不维保的。。
通过看视频得知几个接口
http://**.**.**.**/newjsp/Self_check_report.jsp?style=u4|2
自检报告查询
电梯具体位置都知道了
单 位 名 称:
西安市地下铁道有限责任公司运营分公司
管 理 卡 编 号:
N0000008484
安全管理人员:
雷韬
安全管理人员电话:
89093202
单 位 地 址:
西安市经济技术开发区草滩生态产业园尚稷路6号
再登录chenliang
700多报警信息。都是被困电梯的应该
上传图片哪里
事故的,直接上传jsp马
随便下载了几张图- -
还有一些配置
权限非常大
使用部门:
shell都拿到了。想干嘛就干嘛。
漏洞证明:
修复方案:
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2016-05-31 17:46
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给陕西分中心,由陕西分中心后续协调网站管理单位处置。
最新状态:
暂无
漏洞评价:
评价