用友致远A6协同管理系统多处敏感信息泄露

2015-10-10T00:00:00
ID SSV:89639
Type seebug
Reporter
Modified 2015-10-10T00:00:00

Description

用友致远A6协同管理系统:面向广大的企事业组织应用设计,是一个基于互联网的高效协同工作平台和优秀的协同管理系统。它融入先进的协同管理理念,运用领先的网络技术,切实有效的解决企事业组织工作管理中的关键应用。利用它可把日常管理中的业务、事务、事件等信息在单位、部门、组群、个人之间进行及时高效、有序可控、全程共享的沟通和处理。是一套非常适合国情的、并具有很高性价比的软件。

漏洞描述: 用友致远A6协同管理系统多处敏感信息泄露漏洞

漏洞分析:

用友致远A6协同管理系统对敏感文件的访问权限设置不当,导致多处敏感信息泄漏。

/yyoa/assess/js/initDataAssess.jsp

/yyoa/common/SelectPerson/reloadData.jsp

/yyoa/ext/trafaxserver/SystemManage/config.jsp

泄露的信息包括

1)使用该系统用户的真实姓名、用户名、电话号码、邮箱、身份证、所在公司的部门、职位、工号等等

2)传真服务器的配置信息(ip地址、登录用户名/明文密码)、FTP账号/明文密码、数据库的名称/数据库用户名/明文密码等