赤峰市住房公积金系统漏洞（涉及全市居民住房公积金信息/大量个人信息泄露/大量缴费金额）

2017年4月23日09:19:32评论380 views字数 254阅读0分50秒阅读模式

摘要

2016-03-02：细节已通知厂商并且等待厂商处理中
2016-03-04：厂商已经确认，细节仅向厂商公开
2016-03-14：细节向核心白帽子及相关领域专家公开
2016-03-24：细节向普通白帽子公开
2016-04-03：细节向实习白帽子公开
2016-04-18：细节向公众公开

漏洞概要关注数(8) 关注此漏洞

缺陷编号： WooYun-2016-180023

漏洞标题：赤峰市住房公积金系统漏洞（涉及全市居民住房公积金信息/大量个人信息泄露/大量缴费金额）

漏洞作者：路人甲

提交时间： 2016-03-02 11:40

公开时间： 2016-04-18 15:04

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：远程命令执行

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

赤峰市住房公积金系统漏洞（涉及全市几百万居民住房公积金信息/大量个人信息泄露/大量缴费金额）。

地址：http://**.**.**.**//wscx/

漏洞证明：

（涉及全市几百万居民住房公积金信息/大量个人信息泄露/大量缴费金额）。

code 区域

GZ_GR_JCHD 3632414
 CW_GR_PZ 2887814
 GZ_GR_HBJ 2060376
 GZ_GR_ZZBG_JC 1278418
 GD_DK_HK 997853    个人信息表
 CW_PZ_FL 635191
 CW_GR_PZ_NCYE 433665
 CW_GR_PZ_NCYE_BF 433665
 CW_DW_PZ 302594
 T_WA_SYS_OPTLOG 286435
 GZ_GR_ZZBG 283421
 CW_LOAD_PZ_MX 282316
 GD_TX_HK 234829   个人缴费
 GD_TX_HK_YH 233855    个人信息
 
 EF_JNML_FILE_PRE 232029
 
 CW_PZ_ML 222077
 
 GD_DK_YH 207766
 
 GD_DK_YD_ZZ 188573
 
 CW_LOAD_PZ_FL 167308
 
 GZ_GR_ZZ 146526
 
 GZ_GR_ZZ_BF 145880
 
 CR_GR 145647
 
 GZ_GR_ZZ_LSND 142681
 
 GZ_DW_JCRD 139179
 
 EF_JNML_PRE 138466
 
 GZ_GR_FZ 137765
 
 BPM_REPORTNODELIST 125007
 
 CW_KMYE 106811
 
 T_MK_SYS_CZRZ 99817
 
 T_MK_SYS_IM_DURATION 88531
 
 BPM_ARCHIVEDINSREMARK 77361
 
 BPM_REPORTROUTERLIST 75897
 
 GZ_GR_HBJ_DEL 71787
 
 GZ_DW_JCRD_DEPT 69647
 
 CW_GR_PZ_DEL 66154
 
 BPM_REPORTUSERLIST 63991
 
 CW_KMBM 59202
 
 T_WA_SYS_BOCLOG 57277
 
 GD_SQ_SQR 53998
 
 CW_PZ_FL_WY 53658
 
 GZ_GR_TQ 51262
 
 AI_SJ_GR 50603
 
 BPM_TODO 46528
 
 TMP_CW_LOADPZML 41325
 
 GZ_DW_JK 34201
 
 AI_SJ_TQ_YXWX 32067
 
 SYS_EXPORT_SCHEMA_01 31828
 
 GD_SQ_SH 30704
 
 GD_DK_ZZ 30679
 
 GD_SQ_DK 30669
 
 GD_DK_FZZ 30614
 
 GD_SQ_JB 29967
 
 T_MK_SYS_MESSAGES 29791
 
 T_MK_APP_KQGL 27989
 
 T_WA_BPM_INFO 27087
 
 T_WA_BPM_FORMDATA 26413
 
 BPM_ARCHIVEDDATA 25890
 
 BPM_MAILLIST 25588
 
 BPM_REPORTDOCLIST 24892
 
 GD_DB_DYDB 22285
 
 CW_PZ_ML_WY 20476
 
 AI_SJ_TQ_TQCS 19730
 
 T_WA_SYS_DBTRACE 18722
 
 AI_SJ_JC_BLCX 16463
 
 GD_SH_YJ 16252
 
 GZ_GR_TQCL 15504
 
 GZ_TX_TQKHMX 15177
 
 GZ_TX_TQDZMX 13774
 
 T_WA_SYS_CZLSH 13371
 
 TMP_CW_TABLE 12992
 
 CW_GR_PZ_BF 12470
 
 GD_DK_BG 12441
 
 T_WA_SYS_INFOCHG_LOG 11493
 
 SYSUNIMAPFLD 11394
 
 CW_DW_PZ_NCYE 11307
 
 CR_BM_JK_MK_ZD 8741
 
 GD_TX_DK_FF 8638
 
 GD_TX_DKDZMX 8622
 
 CW_PZ_FL_DEL 8503
 
 GZ_DW_BG 8359
 
 GD_DK_YQ 8288
 
 HR_YG_SJQX_YH 7912

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-03-04 15:04

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT下发给内蒙古分中心,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-02 14:39 | cookie ( 路人 | Rank:4 漏洞数:4 | 前面是我老大……)

1

这个和 WooYun: 某市住房公积金存在JAVA反序列化漏洞(可getshell) 不一样？

1# 回复此人

漏洞概要 关注数(8) 关注此漏洞

缺陷编号： WooYun-2016-180023

漏洞标题： 赤峰市住房公积金系统漏洞（涉及全市居民住房公积金信息/大量个人信息泄露/大量缴费金额）

相关厂商： 赤峰市住房公积金

漏洞作者： 路人甲

提交时间： 2016-03-02 11:40

公开时间： 2016-04-18 15:04

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 远程命令执行

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(8) 关注此漏洞

漏洞标题：赤峰市住房公积金系统漏洞（涉及全市居民住房公积金信息/大量个人信息泄露/大量缴费金额）

相关厂商：赤峰市住房公积金

漏洞作者：路人甲

漏洞类型：命令执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：远程命令执行

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分