当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04583

漏洞标题:凡客诚品内网敏感资料高危泄漏

相关厂商:凡客诚品

漏洞作者: only_guest

提交时间:2012-02-17 03:33

修复时间:2012-04-02 03:34

公开时间:2012-04-02 03:34

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-02-17: 细节已通知厂商并且等待厂商处理中
2012-02-17: 厂商已经确认,细节仅向厂商公开
2012-02-27: 细节向核心白帽子及相关领域专家公开
2012-03-08: 细节向普通白帽子公开
2012-03-18: 细节向实习白帽子公开
2012-04-02: 细节向公众公开

简要描述:

内部邮箱密码泄漏.进销存,财务,产品,订单等数据库连接信息泄漏!

详细说明:

看猪哥哥给凡客发洞送礼品了.我在乌云发了这么多洞还没得过礼品,晚上打发时间,也来找点信息泄漏.希望和他的不是一个.
切入点是这里
http://crm.vancl.com:8001/
里面有凡客内部的一些CRM软件下载:
进销存管理系统(vancl)
进销存管理系(vanku)
订单管理系统
WMS
LMS
SCCL
产品管理系统
财务管理系统
这些软件都有配置文件,配置文件中包含着各种信息,我想只要能杀入内网.这些信息泄漏带来的危害是爆炸性的....

漏洞证明:

我随便列举一点....太多内容我也没去挖...总之各种数据库连接信息泄漏....
还有webmaster的密码...
http://fms.rufengda.com/
http://119.253.51.30/
http://119.253.51.47/
http://119.253.51.48/vancl/
http://exchange.rufengda.com/
<network host="smtp.vancloa.cn" port="25" userName="webmaster@vancloa.cn" password=".u8x9y1m4k7r3h6" />
<to value="JIshu_FC.list@vancl.cn" />
<from value="crm@vancl.cn" />
<username value="crm@vancloa.cn" />
<password value=".654sy56kj67dgb577ks" />
<subject value="跨库事务失败邮件通知" />
<smtpHost value="smtp.vancloa.cn" />
<port value="25" />
<add key="DBCONNSTR" value="Persist Security Info=False;Data Source=10.3.136.211;Initial Catalog=SCM;User ID=TestDBUser;Password=devuser221"/>
<!--正式配置-->
<add key="DBCONNSTR" value="2eLzKP8/OEoUpJaxHa+1IDH1+qNO/rsatvTWk9+ULB0KBrr0PGPVVnPoc6WN2m6chXw9sbaz+VjUqbO+G8RHpn+ePPMR6XMzJ26w+UrIizC69MFXqYNklMMLLWoA/wRHR1eDqIq9fJnq7tpaCnnpUirjaKCMjIhjfGJl+NCT/LQjBWAqmNlO8IAD382wiUZDWrT3+DgkDYI0M1alIw8yZR2l1fAYDgCW2MMJSszn8vfE87dk5NhLag==" />
<add key="DBCONNSTR_READONLY" value="2eLzKP8/OEpZgDNnPAGLW6819fZGiJuEd4NUV7Q7BYZ/qAIziY72WsltX0lH51ZAjYIekVhFOQ0iF86SRfna3YiL1F9IlTD6C/2lTb/yKI0ynzxKRndIz+WGbOgWS1PLIBtKl5YzVPPGM8LzcLFf2Sf/gaTv9hiWl6bUEEvT6GNRDyDmgx3AbIqnLomRpiI6d1eJvxPKxHPJau6G22fJXQ==" />

修复方案:

这么敏感的东西还是别放外网了吧?

版权声明:转载请注明来源 only_guest@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-02-17 18:16

厂商回复:

添加对漏洞的补充说明以及做出评价的理由

最新状态:

暂无


漏洞评价:

评论

  1. 2012-02-17 18:17 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    添加对漏洞的补充说明以及做出评价的理由

  2. 2012-02-17 18:21 | 凡客诚品(乌云厂商)

    十分感谢!

  3. 2012-02-17 19:29 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    嘿嘿..看来和猪哥的不是一个