漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-045839
漏洞标题:某CMS漏洞可导致部分新闻网传媒网敏感信息泄露(svn 数据库 后台数据等等)
相关厂商:某CMS程序
漏洞作者: 乐乐、
提交时间:2013-12-16 12:22
修复时间:2014-03-16 12:23
公开时间:2014-03-16 12:23
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-12-16: 细节已通知厂商并且等待厂商处理中
2013-12-20: 厂商已经确认,细节仅向厂商公开
2013-12-23: 细节向第三方安全合作伙伴开放
2014-02-13: 细节向核心白帽子及相关领域专家公开
2014-02-23: 细节向普通白帽子公开
2014-03-05: 细节向实习白帽子公开
2014-03-16: 细节向公众公开
简要描述:
我只搜到了6个新闻网的信息 ~~ T.T
详细说明:
BroadVision CMS
都是CMS惹的祸 涉及到的都是一些新闻网
gg:site:tv (com\cn) inurl:cms/conf/system.xml
具体怎么搜 自己想姿势
或者去搜以下关键字什么的 :BroadVision CMS
由于公司有限制谷哥打不开只能用度娘~
大部分信息全部泄露在 http://www.ganews.tv:8080/cms/conf/system.xml 这个位置。
数据库信息泄露。
其余的就是一些svn信息之类的。
cms下目录可遍历。
没深入,就这样吧,继续上班。
漏洞证明:
宁波新闻网:http://live.jnnews.tv:8080/cms/conf/system.xml
公安新闻网:http://www.ganews.tv:8080/cms/conf/system.xml
濮阳电视新闻网:http://www.pytv.tv:8080/cms/conf/system.xml
贵州新闻网:http://vod.gog.com.cn:8080/cms/conf/system.xml
株洲传媒网:http://www.zzbtv.com:8080/cms/conf/system.xml
黑龙江新闻网:video.hljnews.cn:8080/cms/conf/system.xml
党校交换平台:http://202.108.87.94:8080/cms/conf/system.xml
修复方案:
......不懂
版权声明:转载请注明来源 乐乐、@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:19
确认时间:2013-12-20 18:22
厂商回复:
CNVD确认并复现所述多个实例情况,确认为通用软件漏洞,已经转由CNCERT转报给新闻行业主管部门,建议其发布行业通报。同时根据测试结果,同步下发给内蒙、湖南、湖北、贵州等省份分中心,由其协调对应网站管理单位处置。
最新状态:
暂无
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)