DoNew主站数据库SQL文件泄露（包含用户姓名、密码、邮箱等，FTP数据）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114261

漏洞标题：DoNew主站数据库SQL文件泄露（包含用户姓名、密码、邮箱等，FTP数据）

漏洞作者： nyexia

提交时间：2015-05-15 12:00

修复时间：2015-05-20 12:02

公开时间：2015-05-20 12:02

漏洞类型：用户资料大量泄漏

危害等级：中

自评Rank：8

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-15：细节已通知厂商并且等待厂商处理中
2015-05-20：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

sql数据库文件泄露：

详细说明：

1、sql文件泄露
http://www.donews.com/donews.sql

2、数据库为mysql，可本地还原

3、用户数据示例

漏洞证明：

如上

修复方案：

把sql文件移到web无法访问的地方

版权声明：转载请注明来源 nyexia@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-05-20 12:02

厂商回复：

漏洞Rank：8 (WooYun评价)

漏洞评价：

2015-05-15 12:02 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

卧槽，直接被脱裤？？
2015-05-15 18:41 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

几年前的SQL备份也提交？
2015-05-15 18:42 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

http://www.donews.com/donews.sql
2015-05-16 21:43 | null_z ( 普通白帽子 | Rank:251 漏洞数:30 )

楼上这么吊，你家人知道吗？
2015-05-20 16:21 | 真旅网集团(乌云厂商)

我的那个去，厂商太牛了，直接忽略。。我点了链接还可以下载数据库。。不过要了也没用。扫他们干嘛，白了也白扫，来扫我们漏洞吧，一大堆礼物坐等来领，apple watch都快上锈了^_^天地行：www_tdxinfo_com (主平台) 运营商：op_tdxinfo_com 供应商：provider_tdxinfo_com
2015-05-20 16:26 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

@真旅网集团你号被盗了吧
2015-05-20 16:33 | 真旅网集团(乌云厂商)

@浩天没有哇，为毛被盗，是确实好久没人扫我们，闲的慌啊。
2015-05-20 17:21 | z7y丶 ( 路人 | Rank:4 漏洞数:1 | 我是z7y的表弟)

@真旅网集团集体嘲讽技能
2015-05-20 17:28 | 真旅网集团(乌云厂商)

@z7y丶呵呵，曾经有一天，帽子们狂扫我们，一天报告十几个漏洞，那几天我们忙得蛋疼。。光搬礼物发礼物就几十个快递。。现在好了，几个月没扫到我们1个漏洞，我们闲的蛋疼。。
2015-05-20 17:39 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

@真旅网集团注意查收邮件
2015-05-21 11:18 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

@真旅网集团 2015-05-20 真旅网某分站运维配置不当可泄露用户敏感信息待确认李旭敏2015-04-02 真旅网某站配置错误导致可Getshell 已公开 XXXQQ
2015-05-21 16:04 | 真旅网集团(乌云厂商)

@浩天没收到~
2015-05-21 16:05 | 真旅网集团(乌云厂商)

@BMa 啥情况? 那都是别人扫的，你快来扫，就等你了~^_^

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114261

漏洞标题：DoNew主站数据库SQL文件泄露（包含用户姓名、密码、邮箱等，FTP数据）

相关厂商：DoNews

漏洞作者： nyexia

提交时间：2015-05-15 12:00

修复时间：2015-05-20 12:02

公开时间：2015-05-20 12:02

漏洞类型：用户资料大量泄漏

危害等级：中

自评Rank：8

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 nyexia@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114261

漏洞标题：DoNew主站数据库SQL文件泄露（包含用户姓名、密码、邮箱等，FTP数据）

相关厂商：DoNews

漏洞作者： nyexia

提交时间：2015-05-15 12:00

修复时间：2015-05-20 12:02

公开时间：2015-05-20 12:02

漏洞类型：用户资料大量泄漏

危害等级：中

自评Rank：8

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0114261"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 nyexia@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：