Tencent WeiBo multiple Dos vulnerabilities(critical)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048501

漏洞标题：Tencent WeiBo multiple Dos vulnerabilities(critical)

漏洞作者： Pentest.mobi

提交时间：2014-01-10 18:33

修复时间：2014-04-10 18:34

公开时间：2014-04-10 18:34

漏洞类型：拒绝服务

危害等级：高

自评Rank：16

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-10：细节已通知厂商并且等待厂商处理中
2014-01-11：厂商已经确认，细节仅向厂商公开
2014-01-14：细节向第三方安全合作伙伴开放
2014-03-07：细节向核心白帽子及相关领域专家公开
2014-03-17：细节向普通白帽子公开
2014-03-27：细节向实习白帽子公开
2014-04-10：细节向公众公开

简要描述：

Tencent WeiBo(WBlog) latest Version, multiple Dos vulnerabilities need to be handled. It's really really critical, shouldn't be run away from it!

详细说明：

这些activity组件可被任意第三方程序调用导致进程crash.

com.tencent.WBlog com.tencent.WBlog.activity.PublishMsgListActivity 
com.tencent.WBlog com.tencent.WBlog.activity.ConversationActivity
com.tencent.WBlog.activity.FeedListActivity
com.tencent.WBlog.activity.PicWallMsgListActivity
com.tencent.WBlog.activity.SeedMsgListActivity
com.tencent.WBlog.activity.imageprocess.PictureActivity
com.tencent.WBlog.activity.UserInfoActivity
com.tencent.WBlog.intentproxy.IntentProxy
com.tencent.WBlog.intentproxy.TencentWeiboIntent
com.tencent.WBlog.activity.imageprocess.PictureGalleryActivity
com.tencent.WBlog.activity.imageprocess.ImageZoomActivity
com.tencent.WBlog.activity.ShareInputActivity
com.tencent.WBlog.activity.FastSendActivity
com.tencent.WBlog.activity.TravelActivityController
com.tencent.WBlog.activity.TopicActivityGroupController
com.tencent.WBlog.activity.TemplateListActivity
com.tencent.WBlog.activity.HotSpotActivity
com.tencent.WBlog.activity.StreetLeaveMsgActivity

漏洞证明：

Process com.tencent.WBlog (pid 2321) has died.

修复方案：

略

版权声明：转载请注明来源 Pentest.mobi@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-01-11 15:39

厂商回复：

非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。

漏洞评价：

2014-01-11 12:59 | Spid3r ( 实习白帽子 | Rank:50 漏洞数:10 | 常年撒网打鱼.)

你们有没有发现点击上面的漏洞作者，弹出一个下载链接？
2014-01-14 21:32 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

really really critical, shouldn't be run away from it!
2014-01-15 12:34 | Jany ( 路人 | Rank:0 漏洞数:1 | 宅女一枚。。很宅的宅女。)

@Spid3r 没有发现啊。
2014-01-17 02:35 | 404 ( 路人 | Rank:20 漏洞数:4 )

敢问洞主用的什么翻译。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048501

漏洞标题：Tencent WeiBo multiple Dos vulnerabilities(critical)

相关厂商：腾讯

漏洞作者： Pentest.mobi

提交时间：2014-01-10 18:33

修复时间：2014-04-10 18:34

公开时间：2014-04-10 18:34

漏洞类型：拒绝服务

危害等级：高

自评Rank：16

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Pentest.mobi@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-048501

漏洞标题：Tencent WeiBo multiple Dos vulnerabilities(critical)

相关厂商：腾讯

漏洞作者： Pentest.mobi

提交时间：2014-01-10 18:33

修复时间：2014-04-10 18:34

公开时间：2014-04-10 18:34

漏洞类型：拒绝服务

危害等级：高

自评Rank：16

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-048501"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Pentest.mobi@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：