ecshop数据库默认账户信息,导致网站信息泄漏

2012-05-28T00:00:00
ID SSV:93514
Type seebug
Reporter Root
Modified 2012-05-28T00:00:00

Description

简要描述:

ecshop在默认安装的时候,安装程序会添加两个管理员账户,虽然管理员账户没有操作权限,但是通过这两个账户还是可以看到网站的订单数据.

详细说明:

ecshop在默认安装的时候,安装程序会添加两个管理员账户,虽然管理员账户没有操作权限,但是通过这两个账户还是可以看到网站的订单数据. 这是admin_user表的截图。

<img src="https://images.seebug.org/upload/201205/28175932dadb672251f0b241bd0904c6787b7d02.jpg" alt="" width="600" onerror="javascript:errimg(this);">

漏洞证明:

随便找个ecshop的网站,打开后台,使用用户名:bjgonghuo1密码:bjgonghuo1可登录。 或者使用用户名:shgonghuo 密码:shgonghuo http://www.lefei.com/admin/

<img src="https://images.seebug.org/upload/201205/2817562559c80e4429f1df1522f6710543ac24f3.jpg" alt="" width="600" onerror="javascript:errimg(this);">