【搜狐IT消息】在12306能力和用户体验遭受质疑的同时，12306又一更严重的问题被发现，其存在严重安全漏洞，有可能泄露用户信息，并且其他人可以通过该漏洞任意修改用户名和密码，进行订票、退票等操作。

乌云网站上显示的12306漏洞信息

在乌云网站(www.wooyun.org)网站上，在最新确认栏有一条12306某分站信息显示：12306.cn某分站注入漏洞，漏洞类型为SQL注射漏洞，危害等级为高，相关厂商为中国铁道科学研究院，目前漏洞状态为厂商已经确认。

据漏洞作者“yingoing”介绍，技术人员通过漏洞任意修改用户的密码，可进行“订票、退票”等操作，用户信息将遭到泄露。至于具体的操作方法，“yinggoing”表示不便公开，“具体细节就不透露了。等他们修复再公开吧!这个确实影响很大。”

媒体报道，据“乌云白帽子”称，漏洞已提交厂商，等待处理。该漏洞是“乌云白帽子”根据网友提供的信息，“乌云”进行测试，确认漏洞的存在，危害等级为“高”。“乌云白帽子”介绍，12306.cn官网的系统可能没经过严格设计和测试，导致这个安全漏洞的出现，“但详细信息不便透露，等待修复”。

“乌云白帽子”向媒体透露，“乌云”已于18日将漏洞的细节通过邮箱提交给中国铁道科学研究院，正等待厂商处理。

早在今年年初，12306就曾有媒体报道，12306存在安全漏洞问题，有可能造成用户信息泄露，时隔9个多月，12306增加了“强制排队”功能，却没有解决安全问题。

乌云网站是一个专门收集曝光各种系统安全漏洞的网站，早在2011年底，互联网行业爆发泄密事件。乌云网站网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞，因此声名鹊起。