当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07584

漏洞标题:AceNet AceRepoter软件内置后门,其它漏洞等

相关厂商:AceNet

漏洞作者: itleaf

提交时间:2012-05-28 10:10

修复时间:2012-07-12 10:11

公开时间:2012-07-12 10:11

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

AceNet AceRepoter软件简单漏洞分析

详细说明:

1)列目录
不知道是不是我这个特例,没机会验证~
2)爆NFE2080 mysql密码
3)爆AceReporter web端密码
4)后门账户

漏洞证明:



修复方案:

1)apache列目录
弱爆了= =、
修改httpd.conf
找到下面这一句删除掉Indexes即可。
Options Indexes FollowSymLinks
2)爆密码
这些文件虽然设置了验证,但是不太完美,至于解决方案,我太菜了,无方案 = =、
3)后门账户
删之

版权声明:转载请注明来源 itleaf@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:9 (WooYun评价)

漏洞评价:

评论

  1. 2012-05-28 11:12 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @乌云怎么变成默认配置不当了?其实我也不知道分到哪里,不过这个是网络边界流控产品,老美的,神州数码代理。@cncert国家互联网应急中心 建议关注一下,它有内置后门账户,老美的东西。

  2. 2012-05-29 09:54 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @itleaf 你应该@xsser

  3. 2012-05-29 10:05 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    有人在召唤我?怎么了?

  4. 2012-05-29 10:50 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @xsser @horseluke http://www.itleaf.info/?p=157文章链接AceNet AceRepoter软件简单漏洞分析乌云或许可以联系神州数码

  5. 2012-07-05 04:11 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @itleaf 你提交的漏洞原来在blog上都已经公开了。。。