何嘉仁國際幼兒園 後台系統敏感信息公開漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00847
  •  發信 Vendor: 何嘉仁實業股份有限公司
  • Title: 何嘉仁國際幼兒園 後台系統敏感信息公開漏洞
  • Introduction: 該漏洞是由於在HackMD上公開了後台系統的敏感信息。

處理狀態

目前狀態

公開
Last Update : 2024/10/31
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2024/08/01 16:50:53 : 新提交 (由 CheN.. 更新此狀態)
  • 2024/08/02 23:39:43 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 18:04:01 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 18:04:01 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 18:04:01 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/25 10:31:44 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/25 10:32:08 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/25 10:32:08 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/25 10:32:08 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/10/31 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00847
  • 通報者:SamChen_696 (CheN..)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://ksong-admin.web.app/login

https://hackmd.io/@business-ksong/SJMBwox8i#%E4%BD%95%E5%98%89%E4%BB%81%E5%9C%8B%E9%9A%9B%E5%B9%BC%E5%85%92%E5%9C%92%E5%BE%8C%E5%8F%B0%E7%B3%BB%E7%B5%B1%E3%80%90%E4%BD%BF%E7%94%A8%E8%80%85%E6%93%8D%E4%BD%9C%E6%89%8B%E5%86%8A%E3%80%91

敘述

  1. 在HackMD上發現了一份何嘉仁國際幼兒園後台系統的【使用者操作手冊】,其中包含後台系統的帳密敏感資訊。
    圖片

  2. 前往後台網址輸入帳密後發現可以成功登入後台系統

3.文章管理部分可以隨意編輯文章內容,體驗券列表包含許多學生家長個資,且可以任意刪除體驗券
圖片
圖片

為防止網站受到更多傷害,我沒有進行其他測試,有其他疑問請與我聯繫

影響:
攻擊者可以未經授權地訪問系統,竊取家長和學生的個人資訊,對系統安全造成嚴重威脅。

修補建議

1. 立即移除HackMD上的敏感信息。

2. 更改後台系統的所有密碼,並加強密碼安全性。

3. 實施強制的身份驗證措施,防止未經授權的訪問。

4. 定期審查系統日志,檢測和應對未經授權的訪問。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;