当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111108

漏洞标题:tom邮箱测试员密码泄露可间接导致内部员工邮件信息泄露

相关厂商:TOM在线

漏洞作者: 路人甲

提交时间:2015-04-29 19:06

修复时间:2015-05-04 19:08

公开时间:2015-05-04 19:08

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-29: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

tom邮箱测试员密码泄露,导致内部员工邮件信息泄露

详细说明:

mail.tom.com/info/ad/mailpop-dzm/adv.txt

<div id="popupDivgame" style="z-index: 999999999; display: none; position: absolute; left: 400px; top: 50px;"  >
   <div id="Layer1" style="position:absolute; width:530px; height:530px;  ">
  <img src="/webmail-static/images/bg.png" name="bg" /></div>
  <div id="Layer1" style="position:absolute; width:200px; height:115px; left: 158px; top: 342px;">
  <a style="cursor:pointer;"><img src="/webmail-static/images/liji.png" name="liji" width="358" height="135" /></a></div>
  <div id="Layer3" style="position:absolute; width:41px; height:39px; left: 464px; top: 28px;">
  <img src="/webmail-static/images/close.png" name="close" width="40" height="39" /></div>
  <form action="http://pass.tom.com/dologin.php" method="post" id="ftx_from1" target="_blank">
  	<input type="hidden" name="tomid" id="tomid" value="aihuichuanshuo@tom.com">
  	<input type="hidden" id="tompwd" name="tompwd"  value="aihui.789">
  	<input type="hidden" name="backurl" id="backurl" value="http://f.game.tom.com/ftx/index.html">
  </form>	
 </div>

漏洞证明:

toma.jpg

tom2a.jpg

tom3a.jpg

tom4a.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-04 19:08

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-04 23:44 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    这些奇葩的链接是怎么找到的啊

  2. 2015-05-05 00:09 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    难道TOM不应该和中国移X一样被列入黑名单?@疯狗

  3. 2015-05-05 11:40 | raindrop ( 路人 | Rank:23 漏洞数:6 | raindropmail:hackraindrop@foxmail.com)

    @胡小树 Baidu+Goole

  4. 2015-05-05 15:44 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @raindrop 谷歌大法好