2014-03-06:细节已通知厂商并且等待厂商处理中
2014-03-11:厂商已经确认,细节仅向厂商公开
2014-03-14:细节向第三方安全合作伙伴开放
2014-03-21:细节向核心白帽子及相关领域专家公开
2014-03-31:细节向普通白帽子公开
2014-04-20:细节向实习白帽子公开
2014-06-04:细节向公众公开
涉及到较多高校,不乏211,问题是一个高校常用的研究生管理系统,估计上万学生信息暴露。
详细说明:google关键字:inurl:student_info1.aspx
直接进入研究生教务处的管理系统的页面,只要更改相应的学生学号就能查询到该学生的身份证号,家庭地址,家庭电话,指导老师等等。
写了python随便跑了下就有上千的学生信息暴露了,google的话还有不少学校受到影响。
漏洞证明:
版权声明:转载请注明来源 Adra1n@乌云 漏洞回应 厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-03-11 09:08
厂商回复:CNVD确认所述情况,已经转报给教育网应急组织。
最新状态:暂无