当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036954

漏洞标题:几个政府网站的服务器配置不当导致源码泄露(部分可以遍历目录)

相关厂商:政府

漏洞作者: Mosuan

提交时间:2013-09-13 12:29

修复时间:2013-10-28 12:30

公开时间:2013-10-28 12:30

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-13: 细节已通知厂商并且等待厂商处理中
2013-09-18: 厂商已经确认,细节仅向厂商公开
2013-09-28: 细节向核心白帽子及相关领域专家公开
2013-10-08: 细节向普通白帽子公开
2013-10-18: 细节向实习白帽子公开
2013-10-28: 细节向公众公开

简要描述:

几个政府网站的服务器配置不当导致源码泄露(部分可以遍历目录)

详细说明:

几个政府网站的服务器配置不当导致源码泄露(部分可以遍历目录)
其中几个是省级的政府站点。

漏洞证明:

http://app.shzj.gov.cn:9080/shzjwar/jsp/jzgcww/bzh/bzdfbzapply/.svn/entries 上海质量监督局
========================================================================================
http://www.jm.gd-n-tax.gov.cn/skin/style/chaozhou/common/.svn/entries 广东省税务局
========================================================================================
http://www.jzg.lncom.gov.cn/ts/res/image/map/facility/scenic_spot/.svn/entries 辽宁省交通厅
========================================================================================
http://www.xjlottery.gov.cn/xjlottery/platform/openPrizeMessage/.svn/entries 新疆体彩网
========================================================================================
http://lesv.ivpp.ac.cn/app/webroot/css/.svn/entries 中国科学院脊椎动物进化系统学重点实验室
========================================================================================
http://wzdaj.wenzhou.gov.cn/wzdaweb/platformData/infoplat/pub/wzdaweb_2632/flash/.svn/entries 温州市档案网
========================================================================================
http://www.hongjiang.gov.cn/Shuguang_App/Data/.svn/entries
http://www.hongjiang.gov.cn/Shuguang_App/ 湖南洪江区政府网
========================================================================================
http://mzt.zj.gov.cn/themes/default/images/newyear/.svn/entries
http://mzt.zj.gov.cn/themes/ 浙江省民政厅
========================================================================================
http://wxzj.tzsjs.gov.cn/ 这个应该是台州市住房和城乡建设规划局的分站
======================================================================
图我就不截了,发url就行了。。

修复方案:

限制。。。

版权声明:转载请注明来源 Mosuan@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-09-18 08:59

厂商回复:

对于SVN信息泄露,此类漏洞可以基于扫描器批量检测,CNVD在后续测试过程中未能得到进一步的结果(SVN服务器大多部署内部网络),仅以信息泄露低危风险计,暂未列入CNVD处置流程。
rank 10

最新状态:

暂无


漏洞评价:

评论