当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027615

漏洞标题:天极传媒营销邮件系统存在弱口令从而各种数据泄漏

相关厂商:天极传媒集团

漏洞作者: mango

提交时间:2013-07-03 18:26

修复时间:2013-08-17 18:27

公开时间:2013-08-17 18:27

漏洞类型:后台弱口令

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-03: 细节已通知厂商并且等待厂商处理中
2013-07-05: 厂商已经确认,细节仅向厂商公开
2013-07-15: 细节向核心白帽子及相关领域专家公开
2013-07-25: 细节向普通白帽子公开
2013-08-04: 细节向实习白帽子公开
2013-08-17: 细节向公众公开

简要描述:

天极传媒营销邮件系统存在弱口令从而各种数据泄漏

详细说明:

http://maillist.chinabyte.com/mail/login.jsp 漏洞存在与这个后台管理密码admin admin
但是权限低,就看了一下日志发现还有好多管理员。。。结果密码都是用户名。。。

R~T}HCD.jpg

0FYBVSORF@8X[F}BF56H}3G.jpg

9JM9LKQLSGD%EWY_O%(R{RL.jpg

Y@UBG}97VU34TPVRLXWR3O9.jpg


反正编辑什么权限都有, 对了 还有几个小漏洞,未授权访问的、
http://weblive.yesky.com/ 这个站未授权访问、、、坑爹。还是直播

~8Q`C)_NIO(WB~MA0RIMY]C.jpg

7S7[F3JVPJ47`C3S}%V}I)X.jpg


还有一个管理后台也是未授权访问
http://admin.tianjimedia.com/jsp/system/index.jsp
http://admin.tianjimedia.com/jsp/system/list.jsp
http://admin.tianjimedia.com/jsp/system/input.jsp

E_$G``CSPF5TTMO7GMP{A76.jpg

SUUMAP~$8K8{C_F%TJFI]R1.jpg

漏洞证明:

J6{``D0G$9VNDYS4M]~V%N1.jpg


最后还有一件事,你们说好的礼物呢。。。怎么还没给我。

修复方案:

礼物礼物礼物礼物礼物!!!

版权声明:转载请注明来源 mango@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-07-05 09:06

厂商回复:

非常感谢您对我们公司的支持,非常感谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-03 19:29 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    马克~

  2. 2013-07-03 19:32 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @熊猫 基友最近干嘛呢。。

  3. 2013-07-03 19:39 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    @mango 0.0 考试。。期末。。

  4. 2013-07-03 19:43 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @熊猫 我都考完了~~