当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149337

漏洞标题:邮乐某处信息泄露

相关厂商:上海邮乐网络技术有限公司

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-10-25 14:55

修复时间:2015-11-11 17:10

公开时间:2015-11-11 17:10

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-25: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

23233

详细说明:

https://github.com/oconnorendure/dwcenter/blob/e4b79a7f31ddea1fc20cfb078f22a7f663227357/src/main/conf/prd/systemConfig.properties

0.png


#  =============================  Images Server configuration =====================
# Images server host
images.server.host=http://i0.ule.com
#===================  Memcached configuration ==================
# memcached server list
memcached.server=172.24.147.47:12000
#prd
#memcached.server=172.24.139.108:11211
#memcached.server=172.24.139.109:11211
#beta
#memcached.server=172.24.207.20:12000
# fetch data timeout unit(ms)
memcached.server.fetchdata.timeout=0
# store data times unit(s)
memcached.server.expiration=1800
# store null data times unit(s)
memcached.server.expiration.null=10
#===================  Mongodb configuration ==================
# mongodb server
mongodb.server=127.0.0.1
# mongodb port
mongodb.port=27017
# mongodb switch
mongodb.switch.key=false
#===================  csauth configuration ==================
#dev:
csauth.url=http://tomauth.ule.cn/cas/SimpleLogin?ctl=getRightList
#csauth.url=http://tomauth.ule.cn/cas/getRightList.do
userinfo.url=http://tomauth.ule.cn/cas/getUserInfo.do
#===================  csauth logout configuration ==================
#dev: 
logout.url=http://tomauth.dev.ule.cn/cas/logout
#appkey
appkey=52a35201ec9b44c0b838d4fa3c0b3caa
#===================  send mail configuration ==================
mail.smtp.host=smtp.163.com
mail.smtp.port=25
mail.smtp.user=shakajava
mail.smtp.pwd=hsklyh1084745763
mail.smtp.from=shakajava@163.com
mail.smtp.from.name=so
mail.smtp.x.mailer=TOMWEBMAIL 2.0
#\u90ae\u4ef6\u9644\u4ef6\u8def\u5f84
mail.smtp.attachment.path=D:/temp
#===================  send mail configuration ==================


https://github.com/oconnorendure/dwcenter/blob/e4b79a7f31ddea1fc20cfb078f22a7f663227357/src/main/conf/prd/jdbc.properties

1.png


#prd
read.jdbc.driver=oracle.jdbc.driver.OracleDriver
read.jdbc.url=jdbc:oracle:thin:@172.24.154.181:1521:uldw
read.jdbc.username=dw_user
read.jdbc.password=dw_pwd
write.jdbc.driver=oracle.jdbc.driver.OracleDriver
write.jdbc.url=jdbc:oracle:thin:@172.24.154.11:1521:uldw
write.jdbc.username=dw_user
write.jdbc.password=dw_pwd


漏洞证明:

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-26 13:11

厂商回复:

确认漏洞,非常感谢

最新状态:

2015-11-11:已经修复

漏洞评价:

评论