当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04487

漏洞标题:搜狐某分站权限绕过及重要敏感信息泄露!

相关厂商:搜狐

漏洞作者: zeracker

提交时间:2012-02-14 01:15

修复时间:2012-03-30 01:15

公开时间:2012-03-30 01:15

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-02-14: 细节已通知厂商并且等待厂商处理中
2012-02-14: 厂商已经确认,细节仅向厂商公开
2012-02-24: 细节向核心白帽子及相关领域专家公开
2012-03-05: 细节向普通白帽子公开
2012-03-15: 细节向实习白帽子公开
2012-03-30: 细节向公众公开

简要描述:

12月初的时候发过了,但是是前些天才修复完毕的,具体看详情。通过某关键字,可以绕开权限,取得root。虽然修复了一部分,我想应该没用完全性的修复完毕。

详细说明:

http://www.google.com.hk/search?q=site%3Asohu.com+inurl%3Adb+mysql&hl=zh-CN&newwindow=1&safe=strict&gbv=2&prmd=ivns&ei=g0E5T6z4FuWuiQeum7SJAg&sa=N&oq=site%3Asohu.com+inurl%3Adb+mysql&aq=f&aqi=&
11月份的时候发现的, WooYun: 凤凰网多个分站后台泄露 有提到过的。
12月初的时候提交了,并且提示过了。但是没修复,12月底的时候又一次测试,没想到还是没修复。所以截了几张图留念,敏感信息没做任何传播,详图请看下面。希望能够彻底修复完毕,将图中的敏感信息.。。。。。..
若进一步测试,你懂的..
这个算不算高危?进一步测试攻击,后果不堪设想。当然我也怕怕。
QQ:2036234 希望能够认识下。有木有礼物赠送捏?

漏洞证明:


看图里的信息,就明显了。不做多的解释了,你懂的。。
好像有3000W+的数据吧。
有木有礼物赠送捏?

修复方案:

继续关注,你比我懂。原来图片地址的,我备份了,但是找不到了。

版权声明:转载请注明来源 zeracker@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-02-14 10:18

厂商回复:

此问题之前已处理,感谢报告:)

最新状态:

暂无


漏洞评价:

评论

  1. 2012-02-14 01:17 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    WooYun: 搜狐分站后台泄露, 有提到关键字获取root的。也有留言、3000W+的数据的。上传图出了点错。