当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143372

漏洞标题:图搜天下某处目录遍历导致大量内部员工姓名/电话等泄漏还有考勤信息/外出信息等

相关厂商:图搜天下(北京)科技有限公司

漏洞作者: 路人甲

提交时间:2015-09-25 12:34

修复时间:2015-11-09 13:28

公开时间:2015-11-09 13:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-25: 细节已通知厂商并且等待厂商处理中
2015-09-25: 厂商已经确认,细节仅向厂商公开
2015-10-05: 细节向核心白帽子及相关领域专家公开
2015-10-15: 细节向普通白帽子公开
2015-10-25: 细节向实习白帽子公开
2015-11-09: 细节向公众公开

简要描述:

大量内部员工姓名/电话等泄漏还有考勤信息/外出信息等

详细说明:

mask 区域 
1.http://**.**.**


一张图先证明是图搜天下的
http://220.181.105.91:8888/download/uploadAttachement/1414058226036/bmp_sy_test.bmp

1.jpg


http://220.181.105.91:8888/download/144/
这里全是敏感信息

2.jpg


我就截图几个证明下
http://220.181.105.91:8888/download/144/29/94277420/

3.jpg


4.jpg


http://220.181.105.91:8888/download/144/28/90767358/

5.jpg


http://220.181.105.91:8888/download/144/30/85474937/

5.jpg

漏洞证明:

141020:
1.熟悉测试案例(E:\1-Tstx\4-项目需求文档\测试用例141020\农牧版本手机端+平台端测试用例\手机端\今日待办-新增经销商 168#);
2.三元定制化测试(任晓明-字段,业务逻辑:客户端提交信息-平台人工审核-客户端再同步-再同步至平台); 先看三元需求测试点;
 测试机:huaweC8815-A00000491D06DE-huawei8815, SamsungG3502 -359357053133428-三星G3502; 三星N719-353945053616032- 
Sysp,admin,admin// 公告、竞品信息录入两人分工;
141017: 
客服系统学习-v3.0-9999配置细则;worktile-2任务处理;第2篇感想文章;新增的电子围栏是什么
1.hp定制化稳定性测试,机HuaweiC8816—A000004F0B660A—验证他,
 1.1照片水印不全(全部)—(reply—先这样子了)
 1.2客户拜访-拜访计划列表 显示不对(原→ 现 ‘n)---(reply-此为C8816系统字库的原因,老bug已在于jira,不用管);
2.91平台_待办业务-冒烟;
3.Fuguang-线上-客服系统:监控平台:手机状态监控:(1)第1次获取企业名失败后,就不再获取; (2)huarwei C8816 流量统计失败;--袁超;

修复方案:

设置好服务器配置

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-25 13:26

厂商回复:

测试环境,所有数据都是测试用数据,但是已经修复该问题。多谢!

最新状态:

暂无

漏洞评价:

评论