当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121066

漏洞标题:多彩鲜花礼品网某处泄露大量用户信息

相关厂商:多彩鲜花礼品网

漏洞作者: 机器猫

提交时间:2015-06-17 16:29

修复时间:2015-08-01 16:30

公开时间:2015-08-01 16:30

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多彩鲜花网主要提供鲜花、蛋糕、巧克力、毛绒玩具等礼品类商品的网上订购和配送服务。
多彩鲜花网是目前国内最早最专业的鲜花速递网站,依托全国各地6000多家线下合作配送花店,配送范围遍及全国省、市、县、及部分乡村区域,配送速度最快1—3小时送达。
多彩鲜花网以鲜花承载的情感传递为使命,致力于为消费者提供最新鲜的花材、最独特的花艺设计、最丰富的情感表达和最专业的客服及配送服务。
先进的订单处理技术系统、强大的鲜花配送体系和完善的客服及售后服务是多彩鲜花网成为鲜花速递行业翘楚的重要保障。

详细说明:

后台订单处未授权访问:http://www.duocaihua.net/admin/GoodsOrders.aspx

漏洞证明:

证明1.png

证明2.png

证明3.png

修复方案:

修复未授权访问。

版权声明:转载请注明来源 机器猫@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2015-06-17 16:40 | 正义的伙伴 ( 实习白帽子 | Rank:95 漏洞数:27 | 正义!!)

    @机器猫 大哥这个是要礼物的节奏