当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024487

漏洞标题:搜狐畅游MongoDB未限制访问IP且无密码

相关厂商:搜狐畅游

漏洞作者: 膜拜hym

提交时间:2013-05-26 11:48

修复时间:2013-07-10 11:48

公开时间:2013-07-10 11:48

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-26: 细节已通知厂商并且等待厂商处理中
2013-05-27: 厂商已经确认,细节仅向厂商公开
2013-06-06: 细节向核心白帽子及相关领域专家公开
2013-06-16: 细节向普通白帽子公开
2013-06-26: 细节向实习白帽子公开
2013-07-10: 细节向公众公开

简要描述:

写了个小脚本,一个晚上扫了10个B段,扫出一堆莫名其妙不设口令的MongoDB,这个应该是搜狐畅游的,应该是,该是,是........

详细说明:

天龙八部的?

2013-05-25-225444_322x345_scrot.png


tlbb == 天龙八部?

漏洞证明:

2013-05-25-225444_322x345_scrot.png

修复方案:

--auth

版权声明:转载请注明来源 膜拜hym@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-05-27 00:28

厂商回复:

感谢路人甲提供漏洞,我们已经修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-05-26 14:02 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    mongodb默认好像是只有本地IP才可以访问的,这个一堆都对外开放了。。

  2. 2013-05-26 19:44 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    10个B段。。丧心病狂啊

  3. 2013-05-27 00:54 | mango ( 核心白帽子 | Rank:1668 漏洞数:245 | 我有个2b女友!)

    ...是

  4. 2013-06-19 17:29 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @gainover 运维方便管理,或者是站库分离的问题. 应该做ip限制的 他们也得买个防火墙嘛。 内部端口开放。 现在市面防火墙不贵,几万来块轻松解决. 不用担心黑客扫描了。

  5. 2013-07-01 23:41 | 混世魔王 ( 路人 | Rank:26 漏洞数:5 | 欢迎友情链接http://26836659.blogcn.com)

    扫下 MongoDB 的溢出吧

  6. 2014-07-02 00:02 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:53 | 本想无耻的刷rank,最后发现是我想太多了。...)

    @膜拜hym 求工具啊 小菜伤不起,只好做伸手党了