漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013259
漏洞标题:百合网二级域名分站服务器目录遍历及源码暴露
相关厂商:百合网
漏洞作者: dullub
提交时间:2012-10-11 17:53
修复时间:2012-10-16 17:53
公开时间:2012-10-16 17:53
漏洞类型:重要敏感信息泄露
危害等级:低
自评Rank:3
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-11: 细节已通知厂商并且等待厂商处理中
2012-10-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
百合网二级域名下属一分站,存在服务器配置不当,导致目录遍历、任意文件下载以及源代码曝出
详细说明:
http://mfc.baihe.com
http://mfc.baihe.com/ddedu/download/software/
http://mfc.baihe.com/ddedu/usereg/ddedu_user_reg2.jsp.nai
http://mfc.baihe.com/services
http://mfc.baihe.com:2100/
以及该网站所有目录,均可以遍历,其中包括大量文件和重要信息,
部分备份的服务端脚本文件可直接下载,泄露源代码
可通过信息获知服务器相关配置类型,并且服务器开放了重要知名端口,
相关默认服务未更改,可为为进一步渗透入侵做准备。
漏洞证明:
http://mfc.baihe.com
http://mfc.baihe.com/ddedu/download/software/
http://mfc.baihe.com/ddedu/usereg/ddedu_user_reg2.jsp.nai
http://mfc.baihe.com/services
http://mfc.baihe.com:2100/
修复方案:
相关网络管理员应该及时正确配置服务器相关设置,以解决信息泄漏问题。
版权声明:转载请注明来源 dullub@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-10-16 17:53
厂商回复:
最新状态:
暂无