当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130605

漏洞标题:喜马拉雅存在重置任意用户密码漏洞

相关厂商:ximalaya.com

漏洞作者: 孤梦°

提交时间:2015-08-31 20:12

修复时间:2015-08-31 20:41

公开时间:2015-08-31 20:41

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-31: 细节已通知厂商并且等待厂商处理中
2015-08-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

喜马拉雅存在重置任意用户密码漏洞
找回密码地址:http://www.ximalaya.com/passport/user_info/show
第一步打开找回密码地址填写自己邮箱找回密码(注意是你自己的邮箱)

1.jpg


第二步我们接受邮件

2.png


3.jpg


注意复制这个链接然后再打开找回密码页面 输入你要重置那个人的邮箱

4.png


复制刚刚你邮箱到链接到这个网址上面

5.png


6.png


ok 现在回车到达重置密码的页面 即可重置此人的密码

7.jpg


修改他的密码 并且修改成功

8.png


漏洞就是这样 给点礼物吧

漏洞证明:

同上面一样

修复方案:

漏洞就是这样 给点礼物吧
修复逻辑问题

版权声明:转载请注明来源 孤梦°@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-31 20:41

厂商回复:

感谢作者帮忙检查,但是并无此漏洞。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-31 16:04 | 倾城咖啡 ( 路人 | Rank:1 漏洞数:1 | duang~)

    6666

  2. 2015-07-31 16:22 | 浅蓝色 ( 路人 | Rank:0 漏洞数:1 | 我是浅蓝色~)

    666666666

  3. 2015-07-31 16:29 | 孤梦° ( 路人 | Rank:25 漏洞数:7 | 泪水不代表着谁的失败、微笑也不代表着谁的...)

    @浅蓝色 6666

  4. 2015-07-31 16:39 | 浅蓝色 ( 路人 | Rank:0 漏洞数:1 | 我是浅蓝色~)

    @孤梦° 我就在喜马拉雅注册了..

  5. 2015-07-31 17:43 | 孤梦° ( 路人 | Rank:25 漏洞数:7 | 泪水不代表着谁的失败、微笑也不代表着谁的...)

    @浅蓝色 哦哦 你叫什么啊 交个朋友

  6. 2015-08-01 22:05 | 浅蓝色 ( 路人 | Rank:0 漏洞数:1 | 我是浅蓝色~)

    @孤梦° 不要,账户该丢了 哈哈

  7. 2015-08-01 22:50 | 孤梦° ( 路人 | Rank:25 漏洞数:7 | 泪水不代表着谁的失败、微笑也不代表着谁的...)

    @浅蓝色 醉了醉了醉了醉了醉了

  8. 2015-09-05 08:39 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    这里重置的是自己的邮箱账号吧...