破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

ShopEx多名员工安全意识不足泄露内部业务信息

编号135967
Urlhttp://www.wooyun.org/bug.php?action=view&id=135967
漏洞状态厂商已经确认
漏洞标题ShopEx多名员工安全意识不足泄露内部业务信息
漏洞类型账户体系控制不严
厂商ShopEx
白帽子getshell1993
提交日期2015-08-21 22:13:00
公开日期2015-10-08 14:34:00
修复时间(not set)
确认时间2015-08-24 00:00:00
Confirm Spend3
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank8
漏洞简介
ShopEx
漏洞细节

以下多名员工邮箱存在弱口令,包括hr。
hr Shopex123
chenminrui Shopex123
huhao Shopex123
lihuatian Shopex123
lixunlong Shopex1234
可进一步登陆
mail.shopex.cn

POC

随机抽两个看一下

1.png


2.png


还有vpn说明

3.png


点到为止 就这样吧

修复方案

加强员工安全意识,内部弱口令全面排查。
或者直接把mail放内网吧

状态信息 2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-24: 厂商已经确认,细节仅向厂商公开
2015-09-03: 细节向核心白帽子及相关领域专家公开
2015-09-13: 细节向普通白帽子公开
2015-09-23: 细节向实习白帽子公开
2015-10-08: 细节向公众公开
厂商回复非常感谢您为shopex信息安全做的贡献
我们将尽快修复
非常感谢
回应信息危害等级:中漏洞Rank:8 确认时间:2015-08-24 14:32