漏洞概要
关注数(24)
关注此漏洞
漏洞标题:电信通旗下一个IDC代理工单信息泄露(可获取用户服务器敏感信息)
提交时间:2013-07-03 11:16
修复时间:2013-07-03 11:19
公开时间:2013-07-03 11:19
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-07-03: 细节已通知厂商并且等待厂商处理中
2013-07-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
提交信息泄露 VPS端口 密码等
详细说明:
自己使用的一个个人代理IDC后台可以查看别人提交的工单 这个貌似电信通每个二级代理都有这个漏洞吧,很鸡肋必须在二级代理处申请主机才可以查看!
漏洞证明:
从查看详细处登录
611条记录得有多少VPS密码?
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-07-03 11:19
厂商回复:
此漏洞已经很早就不存在,我们很早之前就已经查到并且做出了相应处理了
最新状态:
2013-12-18:漏洞提交者由于对本公司不满,提交已被修复的漏洞来诋毁本司形象
漏洞评价:
评论
-
2013-07-03 11:31 |
vipons ( 普通白帽子 | Rank:284 漏洞数:65 | *^◎^*)
@xsser @疯狗 这个应该厂商是电信通吧?通用http://www.yunhosting.com/index.asp
-
2013-07-03 12:21 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-07-03 12:23 |
vipons ( 普通白帽子 | Rank:284 漏洞数:65 | *^◎^*)
@xsser 这个漏洞我刚才测试的,可以,厂商为了自己利益抓服务器不给通过,这个其实是北京电信通通用漏洞,不信你们测试下,次奥
-
2013-07-03 12:35 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@vipons 你给个北京电信通其他系统类似的问题 做个详细的再报告下
-
2013-07-03 14:17 |
vipons ( 普通白帽子 | Rank:284 漏洞数:65 | *^◎^*)
-
2013-08-01 13:16 |
英特云主机(乌云厂商)
呵呵,我想说,这个工单系统是我们自己开发的,直接接入电信通的系统,这个漏洞已经补好了,CCAV啊,你的服务器不想要了,就这么来污蔑我们?还你测试,我记得你服务器不是已经被收回了吗
-
2013-08-01 13:19 |
英特云主机(乌云厂商)
@xsser 抓服务器?我们是电信通旗下合作伙伴,我们还需要自己去抓服务器吗?他测试?他自己利用这个漏洞在我们这边破坏了很多客户的机器,现在我们已经收回他当时购买的机器,并且补好了漏洞,还有,电信通的工单系统是不对外开放的,都是代理用的,我们是自己写的工单系统,接入的电信通机房
-
2013-12-18 20:17 |
vipons ( 普通白帽子 | Rank:284 漏洞数:65 | *^◎^*)
多说无益,有图有真相 ,如果还要别的证据的话我提供,我只能说呵呵 http://wooyun.org/bugs/wooyun-2013-027595
-
2013-12-18 20:36 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-12-18 22:12 |
vipons ( 普通白帽子 | Rank:284 漏洞数:65 | *^◎^*)
@xsser 人家厂商的最新状态 最新状态:2013-12-18:漏洞提交者由于对本公司不满,提交已被修复的漏洞来诋毁本司形象 呵呵
