漏洞概要
关注数(24)
关注此漏洞
漏洞标题:音悦台漏洞群(多个mongodb&redis未授权访问)
提交时间:2015-01-16 10:46
修复时间:2015-01-21 10:48
公开时间:2015-01-21 10:48
漏洞类型:网络敏感信息泄漏
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-01-16: 细节已通知厂商并且等待厂商处理中
2015-01-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
集合起来一起发吧
详细说明:
其实也就是5个mongodb跟3个redis 真的是无意间碰到的、。
mongodb:
证明:
另外三个就不用证明了吧
漏洞证明:
redis:
117.79.131.132没东西,我们来看133的
147好像都是token
修复方案:
限制IP 最好来一发众测
版权声明:转载请注明来源 孤独雪狼@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-01-21 10:48
厂商回复:
漏洞Rank:7 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
2015-01-16 13:20 |
番茄炒蛋 ( 普通白帽子 | Rank:106 漏洞数:31 | test)
-
2015-01-16 13:21 |
玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )
-
2015-01-16 13:42 |
Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)
-
2015-01-21 11:13 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
忽略是正常的,首先泄露的只是测试的数据,而非线上数据库。其次也没影响到正常业务运行。还是少拿着工具扫29017和6379端口吧,没啥意思。
-
2015-01-21 11:26 |
阿萨帝 ( 实习白帽子 | Rank:91 漏洞数:68 | 不发礼物的索要联系方式都是耍流氓。)
@孤独雪狼 上面的图mongodb redis 是用的什么软件。
-
2015-01-21 11:28 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
@阿萨帝 只是mongo和redis的两个客户端而已。
-
2015-01-21 11:37 |
孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)
@f4ck redis里全是线上业务的 @疯狗 狗哥 求补WB
-
2015-01-21 13:51 |
RipZ ( 普通白帽子 | Rank:146 漏洞数:38 | 安装tc130精神扰乱装置)
-
2015-02-04 16:04 |
音悦台(乌云厂商)
@玉林嘎 很抱歉,我们响应太慢,给个联系方式吧,我们补上礼物。谢谢关注音悦台
