奥鹏教育某处未授权访问可影响大量学生信息

编号228007
Urlhttp://www.wooyun.org/bug.php?action=view&id=228007
漏洞状态厂商已经修复
漏洞标题奥鹏教育某处未授权访问可影响大量学生信息
漏洞类型敏感信息泄露
厂商open.com.cn
白帽子路人甲
提交日期2016-07-12 16:06:00
公开日期2016-07-13 10:00:00
修复时间2016-07-13 10:00:00
确认时间2016-07-12 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank18
漏洞简介
RT
漏洞细节

在http://learn.open.com.cn/登入
首页-详细信息-查看 查看照片地址

2.jpg


发现目录泄露了
http://oemsresource.open.com.cn/Attachment/ExportTemp/OEMS/PictureTemp/20160711/

21.jpg


所有学员的照片

22.jpg


23.jpg


学员、老师信息

3.jpg


31.jpg


32.jpg


4.jpg


41.jpg


教师资格证

42.jpg


43.jpg


44.jpg


管理员信息

6.png


61.jpg


所有身份证照片

7.jpg


71.jpg


72.jpg


泄露信息太多,不一一列举。
所有截图只为证明危害,已全删除。不要跨省= =

8.jpg


POC

如上 ,有些图片,马赛克没打好,审核人员帮忙下,谢谢。

修复方案

有礼物否~

状态信息 2016-07-12: 细节已通知厂商并且等待厂商处理中
2016-07-12: 厂商已经确认,细节仅向厂商公开
2016-07-13: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复已提交相关人员处理。-liu
回应信息危害等级:高漏洞Rank:18 确认时间:2016-07-12 17:58