当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080965

漏洞标题:韵达快递某处pma配置不当可以访问内部大量数据库

相关厂商:韵达快递

漏洞作者: 拖鞋王子

提交时间:2014-10-27 14:32

修复时间:2014-12-11 14:34

公开时间:2014-12-11 14:34

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:9

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-27: 细节已通知厂商并且等待厂商处理中
2014-10-27: 厂商已经确认,细节仅向厂商公开
2014-11-06: 细节向核心白帽子及相关领域专家公开
2014-11-16: 细节向普通白帽子公开
2014-11-26: 细节向实习白帽子公开
2014-12-11: 细节向公众公开

简要描述:

还是神器好用

详细说明:

使用神器扫到

http://cas.yundasys.com/pma/index.php


于是剩下的就不多说了

漏洞证明:

1234yd.png


<option value="">(Servers) ...</option>
<option value="1" selected="selected">192.168.105.233 (yfk_interface)</option>
<option value="2" >192.168.105.233 (yfkcx)</option>
<option value="3" >10.0.44.1 (prepayment_php)</option>
<option value="4" >10.0.44.1 (c9)</option>
<option value="5" >192.168.105.199 (kjcx)</option>
<option value="6" >10.0.31.3 (kjcx_ro)</option>
<option value="7" >192.168.105.236 (caiwu)</option>
<option value="8" >192.168.105.236 (bf)</option>
<option value="9" >192.168.105.236 (cwcx)</option>
<option value="10" >192.168.105.132 (yfk)</option>
<option value="11" >192.168.105.200 (caiwu)</option>
<option value="12" >192.168.105.210 (ydshiwu)</option>
<option value="13" >192.168.105.196 (caiwu)</option>
<option value="14" >192.168.1.16 (caiwu)</option>
<option value="15" >58.40.18.70 (caiwu)</option>
<option value="16" >192.168.105.202 (caiwu)</option>
<option value="17" >192.168.105.222 (kjcx)</option>
<option value="18" >192.168.105.89 (YD_yfk)</option>
<option value="19" >192.168.105.230 (khcx)</option>
<option value="20" >192.168.105.232 (cwcx)</option>
<option value="21" >192.168.105.215 (yzs_ro)</option>
<option value="22" >192.168.105.210 (comp_yfk)</option>
<option value="23" >192.168.105.212 (ggs_test)</option>
</select> <input type="hidden" name="lang" value="zh-utf-8" />

修复方案:

版权声明:转载请注明来源 拖鞋王子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-10-27 14:48

厂商回复:

多谢提醒, 立即修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-10-27 15:05 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    15分,不错啊

  2. 2014-10-27 15:11 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    啥神器啊?

  3. 2014-10-27 22:44 | 随页清风 ( 普通白帽子 | Rank:131 漏洞数:41 | 剑有所指)

    同问

  4. 2014-12-11 15:29 | Zhangmeng ( 路人 | Rank:10 漏洞数:6 | 民航界的IT屌丝)

    啥神器啊?