中国铁建某系统漏洞(可泄露大量工程信息+项目合同资金情况+高层信息)

编号132041
Urlhttp://www.wooyun.org/bug.php?action=view&id=132041
漏洞状态已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞标题中国铁建某系统漏洞(可泄露大量工程信息+项目合同资金情况+高层信息)
漏洞类型后台弱口令
厂商中国铁建
白帽子路人甲
提交日期2015-08-07 13:07:00
公开日期2015-09-25 13:36:00
修复时间(not set)
确认时间2015-08-11 00:00:00
Confirm Spend4
漏洞标签弱口令
关注数0
收藏数0
白帽评级
白帽自评rank7
厂商评级
厂商评rank9
漏洞简介
中国铁建某系统漏洞(可泄露大量工程信息+项目合同资金情况+高层信息)
漏洞细节

mask 区域
1.http://**.**.**

存在 弱口令 admin 123456
登录后发现大量在建的工程信息以及合同详情。还有资金情况

POC

81.png

82.png

83.png

84.png

85.png

86.png

修复方案

状态信息 2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开
厂商回复CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式(或以往建立的处置渠道)向网站管理单位(软件生产厂商)通报。
回应信息危害等级:中漏洞Rank:9 确认时间:2015-08-11 13:34