当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04687

漏洞标题:大量DEDECMS站点备份数据路径泄露

相关厂商:DEDECMS相关

漏洞作者:

提交时间:2012-02-21 10:29

修复时间:2012-02-21 10:29

公开时间:2012-02-21 10:29

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-02-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-02-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

很简单,通过google可找出备份路径。

详细说明:

http://www.google.com.hk/#q=inurl:*backupdata*dede_admin&hl=zh-CN&newwindow=1&safe=strict&prmd=imvns&ei=U_dCT7WpOIe9iAe1qpDlBA&start=10&sa=N&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=1fcd94471d9bb062&biw=1280&bih=659

漏洞证明:

修复方案:

robot.txt做好限制

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-02-21 10:51 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    ····很给力 试了下~~查了几个~~应该是记录的管理员账户~~INSERT INTO `dede_admin` VALUES('1','10','admin','96834c7f8f0ed57e8f12','admin','','','0','1243391302','218.242.158.75');INSERT INTO `dede_admin` VALUES('2','1','ss2390330','88b2a8285445233dbcb8','玫瑰编辑','','','0','1243403293','218.242.158.75');

  2. 2012-02-21 11:06 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    果然很给力。。。。老卵了

  3. 2012-02-21 12:15 | 笨猪 ( 实习白帽子 | Rank:56 漏洞数:13 | Jarett|最近忙,洞发得少。。)

    估计跟前期设计有很大关系

  4. 2012-02-21 22:09 | 木木 ( 路人 | Rank:15 漏洞数:4 | 扯淡的人生。)

    很黄很给力。