<我叫MT>任意用户密码修改漏洞 | wooyun-2014-048301| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048301

漏洞标题：<我叫MT>任意用户密码修改漏洞

漏洞作者： Black Angel

提交时间：2014-01-08 18:05

修复时间：2014-01-13 18:06

公开时间：2014-01-13 18:06

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-08：细节已通知厂商并且等待厂商处理中
2014-01-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

http://www.wooyun.org/bugs/wooyun-2010-045050
这个洞洞明明就有,然后迩们还忽略,我真鄙视迩们..

详细说明：

http://wx.locojoy.com:8028/BindAccount/BindJumpUrl?microMessageAccount=2&rnd=9011332623
microMessageAccount是重点

漏洞证明：

http://wx.locojoy.com:8028/BindAccount/BindJumpUrl?microMessageAccount=2&rnd=9011332623
microMessageAccount是重点

修复方案：

修复个毛线,不如继续忽略然后私下再偷偷修复吧.多好.

版权声明：转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-01-13 18:06

厂商回复：

漏洞评价：

2014-01-08 18:28 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

果断发给同事
2014-01-08 19:27 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

@MT哥
2014-01-08 20:37 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

哇?! 求大哥不要修改我账号密码！
2014-01-08 21:38 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)

我们宿舍就我不玩这个游戏
2014-01-08 22:18 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

看了这个厂商..全是忽略
2014-01-09 00:14 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

wp版，未关联账户，哦夜..
2014-01-09 11:15 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫，我们是害虫！)

我操。。太可怕了求赠送大大姐
2014-01-13 22:43 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

他真忽略了啊洞主
2014-01-13 23:16 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

@wefgod 无良厂商..~ 无视了吧
2014-01-14 07:44 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

好口怕...
2014-01-14 09:08 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者，关注web安全。)

测试了一下应该不算任意用户密码修改。顶多算邮箱泄漏。或者可以注册任意没有注册的ID
2014-01-14 18:59 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

@齐迹你看到漏洞的时候官网已经修改了.这里它是把修改密码隐藏了.通过修改页面代码可以直接修改用户的密码. 我刚刚重新去看了.已经修改好了.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048301

漏洞标题：<我叫MT>任意用户密码修改漏洞

相关厂商：北京乐动卓越科技有限公司

漏洞作者： Black Angel

提交时间：2014-01-08 18:05

修复时间：2014-01-13 18:06

公开时间：2014-01-13 18:06

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048301

漏洞标题：<我叫MT>任意用户密码修改漏洞

相关厂商：北京乐动卓越科技有限公司

漏洞作者： Black Angel

提交时间：2014-01-08 18:05

修复时间：2014-01-13 18:06

公开时间：2014-01-13 18:06

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-048301"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：