当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071497

漏洞标题:某富豪相亲软件服务器非授权访问漏洞

相关厂商:富豪相亲会

漏洞作者: Vicent

提交时间:2014-08-08 09:48

修复时间:2014-09-22 09:48

公开时间:2014-09-22 09:48

漏洞类型:

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某富豪相亲软件服务器MongoDB非授权访问漏洞

详细说明:

亲爱的朋友们有福了,某富豪相亲软件数据泄漏。。
富豪相亲会貌似是一个IOS应用。本人ds一枚,没用过。数据库采用的MongoDB。
有非授权访问漏洞。

003.jpg


数据信息泄漏,大约1w多用户。
富豪。。相亲。。。。到底多少是富豪多少人去相亲呢?

漏洞证明:

QQ图片20140807224848.jpg


通过获取的信息可以登录后台

QQ图片20140807224852.jpg


用户起始id100000,大约10000多用户。

QQ图片20140807224901.jpg


系统举报管理功能
仅限测试,并未删除或者编辑任何资料。请放开我的水表,也不要送快递。

修复方案:

管理来乌云学堂学习学习把,控制好网站或者其他程序使用的连接用户权限。

版权声明:转载请注明来源 Vicent@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2014-09-22 11:08 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    相啥亲啊?这MS跟400电话一样吧,都是月泡的平台~