当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104673

漏洞标题:南方周末.svn数据库配置信息泄漏

相关厂商:南方周末

漏洞作者: vicker

提交时间:2015-03-31 16:33

修复时间:2015-04-05 16:34

公开时间:2015-04-05 16:34

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-31: 细节已通知厂商并且等待厂商处理中
2015-04-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

南方周末配置文件源码下载数据库配置信息泄漏

详细说明:

配置文件源码可直接打包下载,
http://www.infzm.com/newsmap.tar.gz

liebiao.png


index.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta name="keywords" content="南方周末官方网站 电子报刊 记者博客 论坛 社区 读者评报 在线阅读 新闻线索 名牌杂志 南方人物周刊">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>新闻地图 - 南方周末</title>
<script src="http://ditu.google.cn/maps?file=api&amp;v=2&amp;key=ABQIAAAAJfHBACIJtxTEFm_nOl0qnhSdfEJ9AprUyArBsRlghnRcjWrCyxQ-hpTR_AlqZYeeQF-tkzLzj7XLXg" type="text/javascript" charset="utf-8"></script>
<script src='http://images.infzm.com/js/com/infzm/newsmap/assemble.js' type='text/javascript'></script>
<script src='http://images.infzm.com/js/com/infzm/newsmap/page/default.js' type='text/javascript' ></script>
...
...
...


数据库连接信息

class config
{
// 数据库链接设定
static $db_dsn = "mysql:host=dbserver;dbname=infzm";
static $db_username = "root";
static $db_password = "mid******fzm.701";
}
class dbo extends PDO
{
static $instance = null;

static function & getInstance( )
{
if ( self::$instance === null ) {
self::$instance = new dbo( config::$db_dsn, config::$db_username, config::$db_password );
self::$instance->exec( "SET NAMES 'utf8'" );
}

return self::$instance;
}
...
...


.svn/entries

svn://sv**********44/wwwroot/www/newsmap
svn://sv**********44

漏洞证明:

已证明

修复方案:

删除文件夹

版权声明:转载请注明来源 vicker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-05 16:34

厂商回复:

最新状态:

暂无


漏洞评价:

评论