linda

漏洞概要
缺陷编号：        WooYun-2012-07533
漏洞标题：        深信服插件会自动创建默认用户
相关厂商：        深信服
漏洞作者：        认真
提交时间：        2012-05-25 21:58
公开时间：        2012-07-09 21:59
漏洞类型：        账户体系控制不严
危害等级：        高
自评Rank：        15
漏洞状态：        厂商已经确认
漏洞来源：        http://www.wooyun.org
Tags标签：        第三方不可信程序 设计缺陷/边界绕过 防火墙绕过 安全意识不足 弱口令 用户敏感信息泄露 深信服

漏洞详情披露状态：
2012-05-25：        细节已通知厂商并且等待厂商处理中
2012-05-30：        厂商已经确认，细节仅向厂商公开
2012-06-09：        细节向核心白帽子及相关领域专家公开
2012-06-19：        细节向普通白帽子公开
2012-06-29：        细节向实习白帽子公开
2012-07-09：        细节向公众公开

简要描述：安装深信服插件会自动创建一个深信服的系统帐号，可能对系统有风险

详细说明：安装深信服插件，会自动创建一个系统帐号，帐号权限为系统管理员权限！

账户名为：__Ingress






漏洞证明：可以通过此用户登录任何装有深信服插件的电脑！







如果共享服务没关闭的话可以通过此用户访问安装有深信服的电脑！






修复方案：待厂商修复
原文：http://www.wooyun.org/bugs/wooyun-2012-07533

[ 本帖最后由 linda 于 2016-2-3 18:31 编辑 ]