当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035104

漏洞标题:cmseasy主站备份文件泄漏导致各种历史密码数据泄漏

相关厂商:cmseasy

漏洞作者: YY-2012

提交时间:2013-08-23 17:59

修复时间:2013-10-07 18:00

公开时间:2013-10-07 18:00

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-23: 细节已通知厂商并且等待厂商处理中
2013-08-23: 厂商已经确认,细节仅向厂商公开
2013-09-02: 细节向核心白帽子及相关领域专家公开
2013-09-12: 细节向普通白帽子公开
2013-09-22: 细节向实习白帽子公开
2013-10-07: 细节向公众公开

简要描述:

cmseasy主站备份文件泄漏导致各种历史密码泄漏和数据库备份信息泄漏,可以收集用来社工!

详细说明:

http://www.cmseasy.cn/wwwroot.rar
--------------------------
//cnzz-cnzz缁熻閰嶇疆{
'cnzz_user'=>'80585135',
'cnzz_pass'=>'5632221616',
--------------------------
'smtp_user_add'=>'CmsEasy <x-x03@163.com>',
'smtp_mail_username'=>'x-x03@163.com',
'smtp_mail_password'=>'65696381520',
--------------------------
'qq1'=>'871148347',
'qq2'=>'1721768801',
'qq3'=>'1121774038',
'qq4'=>'',
//鍞悗QQ
'qq5'=>'',
'wangwang'=>'mymoban',
'msn'=>'cmseasy@live.cn',
----------------------------
cmseasy@163.com
----------------------------
'database'=>array(
'hostname'=>'localhost',//MySQL鏈嶅姟鍣?localhost榛樿涓嶄慨鏀癸紒)
'user'=>'cmseasycn',//鐢ㄦ埛鍚?
'password'=>'dong5242184a',//瀵嗙爜
'database'=>'sqlcmseasycn',//鏁版嵁搴?
'prefix'=>'cmseasy_',//琛ㄥ墠缂€
'encoding'=>'utf8',//缂栫爜
),
------------------------------

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg

修复方案:

删除文件吧
加密密码管理

版权声明:转载请注明来源 YY-2012@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-08-23 18:57

厂商回复:

感谢发现并提供漏洞细节,我公司将尽快修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-26 17:57 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    尼玛,这么牛啊。