2.e You 邮箱系统系列产品漏洞

　　漏洞类型：用户资料大量泄漏

　　危害等级：高

　　e You 是目前国内机构（高校、政府、企业）使用率最高的邮箱系统之一。今发现 e You 邮件系统、e You 邮件网关系统有多处严重的安全隐患，攻击者可入侵服务器和盗取任意邮箱信息。

　　影响版本：

　　2007年以后所有版本，包括最新版。目前主要有默认配置漏洞、旧版网关漏洞与新版网关漏洞、邮箱系统远程执行漏洞。利用以上几个漏洞，只要是使用 e You 的邮箱系统，就99%会被入侵。

　　修复方案：

　　更新到最新版本。

　　详情参见：

　　http：//www.wooyun.org/bugs/wooyun-2012-016448#

　　3.万能密码进入高校银校通 Web 管理系统

　　漏洞类型：设计缺陷/逻辑错误

　　危害等级：中

　　银校通是建立在银行和学校的网络互联基础上，方便学生或学生家长的网上即时动态缴费管理系统，是银行综合金融服务产品的重要组成部分，是学校和银行的便捷资金结算通道。

　　只要进入学校的银校通登录页面，知道学生银校通的账号，就可以轻松进入系统。但不可以直接修改密码，从而利用其进入到其他系统中去。

　　目前该漏洞已交由第三方( CNCERT 国家互联网应急中心)处理。

　　而厂商方面答复，CNVD 确认并复现所述情况，对于绕过情况有一个前提条件，即知晓学号，在近期的测试中复现一个实例。该问题已由中国教育和科研计算机网应急响应组通知相关学校处理。

　　4.URP 教务系统信息泄露漏洞可查询学生成绩和照片

　　漏洞类型：未授权访问/权限绕过

　　危害等级：中

　　URP 高校教务管理系统（University Educational Administration System，简称 UEAS），数字化校园核心业务系统之一，集 Client/Server 和Browser/Web Server 技术于一体，涉及教务、教学管理各环节，面向学校各部门以及各层次用户的大型集成教务管理信息系统。

　　北京清元优软的 URP 教务系统用于国内的各大高校的教务系统，但是系统存在一个页面，可以非授权查询任何学生的成绩，只要知道学生的学号，就可以查询学生成绩、身份证、头像等敏感信息。漏洞通用于所有 URP 系统。

　　修复方案：

　　3删除页面，或者对页面访问进行一个 session 验证等。

　　（本文内容来自网站、由本刊记者杨燕婷整理）