当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146551

漏洞标题:新浪某分站服务配置不当导致源码泄露

相关厂商:新浪

漏洞作者: suixiang

提交时间:2015-10-14 09:21

修复时间:2015-11-29 10:02

公开时间:2015-11-29 10:02

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-14: 细节已通知厂商并且等待厂商处理中
2015-10-15: 厂商已经确认,细节仅向厂商公开
2015-10-25: 细节向核心白帽子及相关领域专家公开
2015-11-04: 细节向普通白帽子公开
2015-11-14: 细节向实习白帽子公开
2015-11-29: 细节向公众公开

简要描述:

新浪网某服务器SVN信息泄漏,可以导致源码被下载,其中泄漏的信息包含数据库连接信息

详细说明:

http://admin.iask.sina.com.cn/api/.svn/entries
http://admin.iask.sina.com.cn/data/.svn/entries
http://admin.iask.sina.com.cn/images/.svn/entries
http://admin.iask.sina.com.cn/admin/.svn/entries
http://admin.iask.sina.com.cn/css/admin/.svn/entries

111.jpg


dir
14808
https://svn1.intra.sina.com.cn/vdisk/audit/adminManage23/htdocs/admin
https://svn1.intra.sina.com.cn/vdisk
2015-09-24T06:41:02.315751Z
14808
wangxuan6
svn:special svn:externals svn:needs-lock
logout.php
file
2014-11-12T06:23:45.000000Z
413c0f64132111a0680f9c2baf5dfaf5
2015-09-24T06:41:02.315751Z
14808
wangxuan6
historyManage.php
file
2014-11-12T06:23:45.000000Z
ee87bbbeeed474abb09854c3c0c7f4c9
2015-09-24T06:41:02.315751Z
14808
wangxuan6
userManage.phpbk0402
file
2014-11-12T06:23:45.000000Z
a92f40a3bf914b5fda0c07f1469898cb
2015-09-24T06:41:02.315751Z
14808
wangxuan6
welcome.php
file
2014-11-12T06:23:45.000000Z
5a8dfffff73613945fac03bd85d82364
2015-09-24T06:41:02.315751Z
14808
wangxuan6
menuManage.php
file
2014-11-12T06:23:45.000000Z
a3f6580e45a68b12c7d25cabf0e632e2
2015-09-24T06:41:02.315751Z
14808
wangxuan6
leftFrame.php
file
2014-11-12T06:23:45.000000Z
4a9743297bb7ac69045f11831298adf4
2015-09-24T06:41:02.315751Z
14808
wangxuan6
groupManage.php
file
2014-11-12T06:23:45.000000Z
57f082fdd7b238f1e54bb2ef4f99df98
2015-09-24T06:41:02.315751Z
14808
wangxuan6
tmpl
dir
userManage.php
file
2015-09-01T03:57:38.000000Z
235a184f74c7b2757885da09bd80dd71
2015-09-24T06:41:02.315751Z
14808
wangxuan6

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg

修复方案:

rt

版权声明:转载请注明来源 suixiang@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-15 10:01

厂商回复:

感谢支持,已经通知业务整改

最新状态:

暂无


漏洞评价:

评价