漏洞概要 关注数(3) 关注此漏洞
缺陷编号: WooYun-2016-193454
漏洞标题: 帅康集团某视频会议服务器存在SQL注入漏洞可getshell进内网导致大量信息泄露(包含经销商,各地区代理账户密码)
相关厂商: 帅康集团
漏洞作者: 路人甲
提交时间: 2016-04-07 14:44
公开时间: 2016-05-22 14:50
漏洞类型: SQL注射漏洞
危害等级: 高
自评Rank: 13
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 敏感信息泄露 安全意识不足 sql注射漏洞 安全意识不足
漏洞详情
披露状态:
2016-04-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
帅康集团某视频会议服务器存在SQL注入漏洞,可getshell进内网,同时大量信息泄露(包含经销商,各地区代理账户密码)
详细说明:
帅康集团公司主要生产高档吸油烟机、燃气灶具、消毒柜、电热水器、太阳能热水器、燃气热水器、现代橱柜、集成吊顶、净水器、微波炉、蒸汽炉、烤箱及水槽等10多个系列1200多个规格的厨电和卫浴产品,是国内系列最全、规模最大的厨卫家电制造基地之一。帅康系列产品中有23项产品属国际领先水平,35项居国际先进行列,56项填补国内空白。帅康系列产品已经出口到美国、德国、日本等全球近50多个国家和地区,其中帅康健康型厨电产品还获得德国政府的补贴。(来自百度百科)
漏洞地址
参考
上大马getshell
shell地址为
密码:helloworld
已在内网中
然后发现了大量用户信息,代理商的,办事处的,应该是个数据库备份,挺大的,就截图了几张。
漏洞证明:
用找到的用户名密码登陆了下视频会议系统,果然可以~
公司开了不少会啊2016年~要是别人进去旁听一下,也算是泄露机密吧?
大概就这么些吧~
修复方案:
升级系统,打补丁吧!
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:18 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登陆后才能进行评分
评论