HanDs
管理员

[7月漏洞公开] 凯撒旅游某重要系统命令执行导致上万驴友护照泄露/内部敏感信息泄露 



rt

详细说明:

#存在java反序列化

code 区域
**.**.**.**/



访问跳转到如下链接,疑似凯撒旅游ERP系统

code 区域
http://**.**.**.**/caissaweb/jsp/login/login.jsp



担心重复,搜索了下,看到前人提交过**.**.**.**所属分站my.

code 区域
http://**.**.**.**/bugs/wooyun-2010-0178470



So.互不影响,测试存在java反序列化命令执行:

011.png



漏洞证明:

简单分析整理下,存在大量敏感信息.



0x01:20775张驴友护照

001.png



护照如图:

1.jpg



2.jpg

3.jpg





0x02:公司众多敏感信息

公司内部.png

2.png





0x03:客户以及其它信息

客户信息.png

4.jpg

客户信息2.png



客户信息3.png



修复方案:

尽快修复..


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
凯撒 糜文持
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复