用友集团某平台弱口令导致泄漏大量敏感信息(机密信息)

漏洞概要

缺陷编号:WooYun-2015-0124262

漏洞标题:用友集团某平台弱口令导致泄漏大量敏感信息(机密信息)

相关厂商:用友软件

漏洞作者:指尖上的故事

提交时间:2015-07-03 08:31

公开时间:2015-07-08 08:32

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-03: 细节已通知厂商并且等待厂商处理中
2015-07-03: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一个低微的弱口令 泄漏出多少机密信息啊用友软件:提交了多少个漏洞你都忽略了,现在这个漏洞你该不会又忽略吧
此次与贵公司相关的任何信息并未泄漏他人,请及时修复以免被不法人员利用,谢绝查水表

详细说明:

http://ufsdp.ufida.com/(用友集团开发管理部YSDP平台) 存在测试员账户 用户test 密码test导致下面外网能访问的模块都能访问并且存在最新数据泄漏重要资料在于一个叫:YSDP研发资产借阅系统 从2010-9-19 16:42:14到目前为止一个4769条数据,其中的附件泄漏了有关很多行业的机密文档,用友软件你罪过..罪过啊.....

漏洞证明:

类似这种附件,如果泄漏就太严重了吧..以下是收集部分工作人员资料:邮件地址可以用做字典来爆破登录(用友很多站是用邮件登录)随便放点出来..至于有多少,没时间去整理你们看着办吧...........

修复方案:

1.修改弱口令2.带商业机密的信息不要开通外网访问3.求不忽略,求给高点rank值

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-0808:32

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Hax0rs 白帽子 | Rank:17 漏洞数:2)

    坐等忽略

  2. 2010-01-01 00:00 Razor2012 白帽子 | Rank:10 漏洞数:2)

    谢绝查水表

  3. 2010-01-01 00:00 漫步云端 白帽子 | Rank:167 漏洞数:17)

    坐等忽略

  4. 2010-01-01 00:00 指尖上的故事 白帽子 | Rank:449 漏洞数:45)

    这尼玛忽略就没话可说了

  5. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    危害等级:无影响厂商忽略

  6. 2010-01-01 00:00 指尖上的故事 白帽子 | Rank:449 漏洞数:45)

    草....真不要脸 偷偷修复了给我一个无影响厂商忽略