奥鹏教育一堆注入、上传、信息泄露,9.5W学生信息泄露

漏洞概要

缺陷编号:WooYun-2013-020567

漏洞标题:奥鹏教育一堆注入、上传、信息泄露,9.5W学生信息泄露

相关厂商:奥鹏教育

漏洞作者:专业种田

提交时间:2013-03-26 10:29

公开时间:2013-05-08 10:29

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2013-03-26: 细节已通知厂商并且等待厂商处理中
2013-03-27: 厂商已经确认,细节仅向厂商公开
2013-04-06: 细节向核心白帽子及相关领域专家公开
2013-04-16: 细节向普通白帽子公开
2013-04-26: 细节向实习白帽子公开
2013-05-08: 细节向公众公开

简要描述:

只有你想不到,没有你得不到的
注入、上传、未授权访问、弱口令....
学员、考生的照片、身份证扫描件、学历证书扫描件,手机号.....估计早有人比我发现的更多,但因学员数据重要性,我发出来希望厂商尽早修复.

详细说明:

因为漏洞太多只列举三个:1、统考学员信息完全泄露,(约9.5万)后台显示学员资料的页面没有验证权限

2、上传漏洞获取文件服务器webshell,全盘浏览(该服务器早被别人玩烂了,管理员没发现)作业提交系统过滤不严可上传a.asp;.jpg类型文件。http://**.**.**.**/media_file001/1103/dongshi/Excellent/005/wg/upload/upfile.asp

3、中国认证认可协会考试资料系统搜索关键词未过滤,可查询到所有考生的身份证、照片等信息(约5.5万)http://**.**.**.**/先注册一个用户

进入考生信息查询 -考生信息查询查询关键词处未过滤特殊字符

站点又多,还有N多漏洞。

漏洞证明:

弱口令:

修复方案:

招至少一个以上安全工程师,然后...(此处省略五百字)

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-03-27 23:03

厂商回复:

CNVD确认并复现所述情况,已由CNVD在25日通过公开渠道联系网站管理方处置,尚未进一步反馈。rank 12

最新状态:

暂无

评价