当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07643

漏洞标题:乌云平台逻辑缺陷导致某些信息泄漏

相关厂商:乌云官方

漏洞作者: 小雨

提交时间:2012-05-29 15:48

修复时间:2012-07-13 15:48

公开时间:2012-07-13 15:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-29: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经确认,细节仅向厂商公开
2012-06-08: 细节向核心白帽子及相关领域专家公开
2012-06-18: 细节向普通白帽子公开
2012-06-28: 细节向实习白帽子公开
2012-07-13: 细节向公众公开

简要描述:

你懂的

详细说明:

漏洞信息详情会提前泄漏一部分给公众,而且有些信息是相当严重的漏洞细节信息。
会危害未公开漏洞的网站的安全。
风险比较高。希望乌云尽快修复。

漏洞证明:

http://www.wooyun.org/feeds/hot 这个feed泄漏了部分暂未公开的详细信息。
<rss version="2.0">
<channel>
<title>wooyun.org 最新热点漏洞</title>
<link>http://www.wooyun.org</link>
<ttl>5</ttl>
<description>wooyun.org</description>
<language>zh-cn</language>
<generator>www.wooyun.org</generator>
<webmaster>webmaster@wooyun.org</webmaster>
<item>
<link>http://www.wooyun.org/bug.php?action=view&id=7606</link>
<title>
<![CDATA[ 新浪某网页游戏存在安全隐患,可刷官方各种礼包. ]]>
</title>
<description>
<![CDATA[
<strong>简要描述:</strong><br/>由于某配置文件泄露引发的血案。可刷各种礼包key,其中白金的是很给力的。
对于做黑产的而已这个就不用解释了。影响是很大的,自评20分绝对不过分。
处于对厂商的保护,所以上多图。
最后说
]]>
<![CDATA[
句国内的网页游戏,安全堪忧。<br/><strong>详细说明:</strong><br/>入口 http://xxxxx.xxxxxx.wanwan.sina.com/xxxxx/xxxx.xml

具体地址你们应该清楚了。不废话了,直接上多图。

&lt;img src=&quo...<br/><br/><strong><a href="http://www.wooyun.org/bug.php?action=view&id=7606" target="_blank">更多内容 &gt;&gt;</a></strong>
]]>
</description>
<pubDate>Thu, 01 Jan 1970 08:00:00 +0800</pubDate>
<category/>
<author>zeracker</author>
<guid>http://www.wooyun.org/bug.php?action=view&id=7606</guid>
</item>
...因有敏感的未公开漏洞信息,不方便贴出,以下内容略去几k...
</channel>
</rss>
而此时访问
http://www.wooyun.org/bug.php?action=view&id=7606
可以看到“目前细节只向厂商公开”。
披露状态:
2012-05-28: 细节已通知厂商并且等待厂商处理中
2012-05-28: 厂商已经确认,细节仅向厂商公开
简要描述:
由于某配置文件泄露引发的血案。可刷各种礼包key,其中白金的是很给力的。
对于做黑产的而已这个就不用解释了。影响是很大的,自评20分绝对不过分。
处于对厂商的保护,所以上多图。
最后说句国内的网页游戏,安全堪忧。
漏洞hash:81389aa197f22842cfa7f3144fe74e99
-------------------------------
虽然泄漏的内容被截取了,长度有限,但是可见的部分已经能让人做很多事情了。

修复方案:

你懂的

版权声明:转载请注明来源 小雨@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2012-05-29 16:04

厂商回复:

由于近期漏洞整理,一些刚提交的漏洞也会进入精华评选(之前的操作是只有等公开之后才会评选),导致少部分信息泄漏(content的前100个字节),目前为止影响为极少数少数(精华漏洞比较少,还未对核心开放的的只有一个),已经修复了

最新状态:

暂无


漏洞评价:

评论

  1. 2012-05-29 15:52 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    敬请期待,乌云官方要现身了~~

  2. 2012-05-29 15:55 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    关注。。。等待公布。。

  3. 2012-05-29 16:05 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    =。=应该是影响了一个漏洞

  4. 2012-05-29 16:07 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)

    好吧,是我过于敏感了。-_-

  5. 2012-05-29 16:20 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @小雨 虽然我看不到漏洞内容,还是佩服楼主对漏洞的嗅觉~~

  6. 2012-05-29 16:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @gainover 同佩服!

  7. 2012-05-29 16:34 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)

    @xsser @gainover 我媳妇都怀疑我有精神病了,她今天发给我个团购链接,我干的第一件事是看有没有SQL注入。发现没有之后,我才注意页面内容是啥。

  8. 2012-05-29 16:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小雨 这是专业素质!

  9. 2012-05-29 16:39 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)

    @gainover 跟各位前辈比我还差得远呢。作为新手我必须要多活动活动。否则连跟各位大侠脚步后面吃尘土的机会都没有了。

  10. 2012-05-29 17:01 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @小雨 把你媳妇也交会,她就不会这么觉得了~~

  11. 2012-07-13 18:00 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    “搞笑有爱”这个标签-_-||