国泰君安某系统可进行任意操作/可泄露敏感信息

漏洞标题 国泰君安某系统可进行任意操作/可泄露敏感信息 相关厂商 国泰君安 漏洞作者 路人甲 提交时间 2016-06-25 17:27 公开时间 2016-06-30 09:13 漏洞类型 后台弱口…

漏洞标题 国泰君安系统可以执行任何操作/泄漏敏感信息 相关制造商 国泰君安 漏洞作者 过路人 提交时间 2016-06-25 17: 27 公共时间 2016-06-30 09: 13 漏洞类型 后台的密码很弱 危险等级 高 自我评估等级 15 漏洞状态 该漏洞已通知供应商,但供应商忽略了该漏洞 标签标签 漏洞详细信息 http://180.153.223.220/seeyon/ 漏洞详情参考:WooYun:致远A8协同系统有任何用户密码修改漏洞(秒变化) 获取令牌:http://180.153.223.220/seeyon/services/authorityService?wsdl 服务管理员123456

你可以使用令牌做很多事情 您可以删除,添加用户,更改密码,禁用用户,下载文件等。 http://180.153.223.220/seeyon/services/personService?wsdl

以最不危害的修改密码为例: 以wanghua为例,改为666666

成功登录:

地址簿:

漏洞证明: 修理计划: 版权声明:请注明出处。居民A @乌云