当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139770

漏洞标题:武汉深之度博客多个信息泄露漏洞

相关厂商:深度OS

漏洞作者: 午夜幽灵

提交时间:2015-09-08 17:37

修复时间:2015-09-13 17:38

公开时间:2015-09-13 17:38

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-08: 细节已通知厂商并且等待厂商处理中
2015-09-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

武汉深之度博客多个地方信息泄露,

详细说明:

这博客和官网是一台服务器上的,,
用的是Wordpress4.2,
1、vim的临时文件泄露,“http://blog.deepin.org/.wp-config.php.swp”,内含数据库连接信息,
2、git版本控制信息泄露,,"http://blog.deepin.org/.git/index",这里面有他们自己做的wp主题,deepin2015。。感兴趣的可以找我要,,

漏洞证明:

http://blog.deepin.org/.wp-config.php.swp

屏幕快照 2015-09-08 下午4.39.37.png


define('DB_USER', 'root');
define('DB_PASSWORD', 'deepin_mysql_123');
define('DB_NAME', 'blog');
这算是弱口令么,而且还是root,,
git泄露,
80/tcp open http nginx
|_http-favicon: Unknown favicon MD5: 96B17649C158A4678FFDFABA5C9A8BF1
| http-git:
| 114.215.101.12:80/.git/
| Git repository found!
| Repository description: Unnamed repository; edit this file 'description' to name the...
| Remotes:
| ssh://Xiongli@cr.deepin.io:29418/blog.deepin.org

屏幕快照 2015-09-08 下午4.45.49.png


修复方案:

删掉这些文件,

版权声明:转载请注明来源 午夜幽灵@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-13 17:38

厂商回复:

漏洞Rank:2 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论