当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093426

漏洞标题:蜜芽宝贝APP盲打泄漏#可修改活动以及商城商品价格

相关厂商:miyabaobei.com

漏洞作者: 小龙

提交时间:2015-01-24 21:12

修复时间:2015-01-26 18:02

公开时间:2015-01-26 18:02

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-24: 厂商已经确认,细节仅向厂商公开
2015-01-26: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

蜜芽宝贝是中国首家进口母婴品牌限时特卖商城。蜜芽宝贝由全职妈妈刘楠于2011年创立,希望创造简单、放心、有趣的母婴用品购物体验。“母婴品牌限时特卖”是指每天在网站推荐热门的进口母婴品牌,以低于市场价的折扣力度,在72小时内限量出售。
2013年12月,蜜芽宝贝获得真格基金和险峰华兴的天使投资。
  2014年2月,蜜芽宝贝官网上线,正式转型为进口母婴品牌限时特卖商城。
2014年6月,蜜芽宝贝获得由红杉资本领投、真格基金和华兴险峰跟投的2000万美元融资。
2014年6月,蜜芽宝贝手机客户端正式上线,提供一站式移动购物服务。
2014年7月,蜜芽宝贝以中国垂直母婴电商领头羊的身份被CCTV《新闻联播》报道。
2014年8月,蜜芽宝贝成立宁波蜜芽宝贝国际贸易有限公司,加入宁波保税区跨境电子商务试点企业行列。
2014年10月,蜜芽宝贝入驻广州保税区,继续发力跨境电商。
2014年10月,蜜芽宝贝3周年店庆促销活动在“双11”前提前打响,零点上线后1小时达成1万单,三天大促订单总量突破15万单。
  2014年12月15日,蜜芽宝贝宣布完成了6000万美元的C轮融资,由HCapital领投,上轮投资人红杉资本和真格基金继续跟投。[1]

详细说明:

1.png


2.png


3.png


5.png


http://ums.intra.miyabaobei.com/operation/outlet_new/detail/3082
http://ums.intra.miyabaobei.com/operation/outlet_new/detail/3153

6.png


7.png


8.png


漏洞证明:

4.png


订单号 下单时间 状态 操作 
1411279494311 2014-11-27 01:35:08 已打单  查看 
1412281494154 2014-12-28 19:16:00 未打单  查看 
1501011751987 2015-01-01 20:32:54 未打单  查看 
1501011765668 2015-01-01 23:27:33 未打单  查看 
1501021768111 2015-01-02 00:29:30 未打单  查看 
1501021770271 2015-01-02 03:34:54 未打单  查看 
1501021770280 2015-01-02 03:36:27 未打单  查看 
1501021770439 2015-01-02 03:34:54 未打单  查看 
1501021770449 2015-01-02 03:36:27 未打单  查看 
1501021773991 2015-01-02 08:56:59 未打单  查看 
1501021775962 2015-01-02 09:42:07 未打单  查看 
1501021777299 2015-01-02 08:56:59 未打单  查看 
1501021783020 2015-01-02 11:13:24 未打单  查看 
1501021784111 2015-01-02 11:28:02 未打单  查看 
1501021784252 2015-01-02 11:29:03 未打单  查看 
1501021785112 2015-01-02 11:40:38 未打单  查看 
1501021788099 2015-01-02 11:40:38 未打单  查看 
1501021790483 2015-01-02 13:10:18 未打单  查看 
1501021791415 2015-01-02 13:26:20 未打单  查看 
1501021791425 2015-01-02 13:26:24 未打单  查看 
1501021793154 2015-01-02 13:53:48 未打单  查看 
1501021793954 2015-01-02 14:10:41 未打单  查看 
1501021795119 2015-01-02 13:53:48 未打单  查看 
1501021797015 2015-01-02 15:03:27 未打单  查看 
1501021797043 2015-01-02 15:04:51 未打单  查看 
1501021797415 2015-01-02 15:09:49 未打单  查看 
1501021797743 2015-01-02 15:15:03 未打单  查看 
1501021798424 2015-01-02 15:27:45 未打单  查看 
1501021798583 2015-01-02 15:29:56 未打单  查看 
1501021798679 2015-01-02 14:45:32 未打单  查看 
1501021799104 2015-01-02 15:39:21 未打单  查看 
1501021799163 2015-01-02 15:40:12 未打单  查看 
1501021800139 2015-01-02 15:27:45 未打单  查看 
1501021802485 2015-01-02 16:46:13 未打单  查看 
1501021803433 2015-01-02 17:03:39 未打单  查看 
1501021803534 2015-01-02 17:05:32 未打单  查看 
1501021806389 2015-01-02 17:03:39 未打单  查看 
1501021806419 2015-01-02 17:05:32 未打单  查看 
1501021809285 2015-01-02 19:11:42 未打单  查看 
1501021817497 2015-01-02 21:43:52 未打单  查看 
1501021821576 2015-01-02 22:47:36 未打单  查看 
1501021824397 2015-01-02 23:33:32 未打单  查看 
1501031826980 2015-01-03 00:52:30 未打单  查看 
1501031827630 2015-01-03 01:22:21 未打单  查看 
1501031832902 2015-01-03 09:46:28 未打单  查看 
1501031835651 2015-01-03 10:37:13 未打单  查看 
1501031843164 2015-01-03 12:24:18 未打单  查看 
1501031850613 2015-01-03 14:47:36 未打单  查看 
1501041885522 2015-01-04 01:21:29 未打单  查看 
1501041889971 2015-01-04 08:52:55 未打单  查看 
1501051942302 2015-01-05 05:35:38 未打单  查看 
1501072092018 2015-01-07 22:18:25 未打单  查看 
1501072096106 2015-01-07 23:21:41 未打单  查看 
1501092175755 2015-01-09 15:09:22 未打单  查看 
1501112260801 2015-01-11 10:42:11 未打单  查看 
1501122305262 2015-01-12 10:10:21 未打单  查看 
1501122323393 2015-01-12 12:20:47 未打单  查看 
1501132403294 2015-01-13 13:07:33 未打单  查看 
1501132406244 2015-01-13 13:32:03 未打单  查看 
1501132407014 2015-01-13 13:39:09 未打单  查看 
1501132409045 2015-01-13 13:59:43 未打单  查看 
1501132410055 2015-01-13 14:09:06 未打单  查看 
1501132425199 2015-01-05 10:14:29 未打单  查看 
1501132428444 2015-01-13 16:59:48 未打单  查看 
1501132435585 2015-01-13 18:17:51 未打单  查看 
1501132439913 2015-01-13 19:00:32 未打单  查看 
1501132441119 2015-01-07 22:18:25 未打单  查看 
1501132464869 2015-01-13 13:07:33 未打单  查看 
1501132465249 2015-01-13 13:59:43 未打单  查看 
1501132466059 2015-01-13 18:17:51 未打单  查看 
1501142481822 2015-01-14 09:26:47 未打单  查看 
1501142483879 2015-01-14 09:26:47 未打单  查看 
1501152652736 2015-01-15 20:26:32 未打单  查看 
1501172799107 2015-01-17 20:33:36 未打单  查看 
1501182851795 2015-01-18 17:48:44 未打单  查看 
1501182852195 2015-01-18 17:57:45 未打单  查看 
1501182852335 2015-01-18 18:00:01 未打单  查看 
1501182852763 2015-01-18 18:08:43 未打单  查看 
1501182853144 2015-01-18 18:18:42 未打单  查看 
1501182856785 2015-01-18 19:37:27 未打单  查看 
1501182857795 2015-01-18 19:58:52 未打单  查看 
1501182859388 2015-01-18 20:28:52 未打单  查看 
1501182859678 2015-01-18 20:30:56 未打单  查看 
1501182860206 2015-01-18 20:38:50 未打单  查看 
1501182860647 2015-01-18 20:46:25 未打单  查看 
1501182861287 2015-01-18 20:59:23 未打单  查看 
1501182861517 2015-01-18 21:02:33 未打单  查看 
1501182863656 2015-01-18 21:30:17 未打单  查看 
1501182863886 2015-01-18 21:34:08 未打单  查看 
1501182864097 2015-01-18 21:37:57 未打单  查看 
1501182864227 2015-01-18 21:39:15 未打单  查看 
1501182866037 2015-01-18 22:05:14 未打单  查看 
1501182866306 2015-01-18 22:08:49 未打单  查看 
1501182868676 2015-01-18 22:37:03 未打单  查看 
1501182873087 2015-01-18 23:48:13 未打单  查看 
1501192874260 2015-01-19 00:18:12 未打单  查看 
1501192875392 2015-01-19 01:14:58 未打单  查看 
1501192875460 2015-01-19 01:26:59 未打单  查看 
1501192876231 2015-01-19 04:51:16 未打单  查看 
1501192878291 2015-01-19 08:37:01 未打单  查看 
1501192878891 2015-01-19 08:50:33 未打单  查看 
1501192878971 2015-01-19 08:53:18 未打单  查看 
1501192881561 2015-01-19 09:46:04 未打单  查看 
1501192887301 2015-01-19 10:22:29 未打单  查看 
1501192893440 2015-01-19 11:04:20 未打单  查看 
1501192896200 2015-01-19 11:26:10 未打单  查看 
1501192897930 2015-01-19 11:40:02 未打单  查看 
1501192903543 2015-01-19 12:53:45 未打单  查看 
1501192906364 2015-01-19 13:29:21 未打单  查看 
1501192910184 2015-01-19 14:14:00 未打单  查看 
1501192911225 2015-01-19 14:28:33 未打单  查看 
1501192914044 2015-01-19 15:02:17 未打单  查看 
1501192915724 2015-01-19 15:25:59 未打单  查看 
1501192920495 2015-01-19 16:34:41 未打单  查看 
1501192928854 2015-01-19 19:10:11 未打单  查看 
1501192931173 2015-01-19 19:56:04 未打单  查看 
1501192932826 2015-01-19 20:24:43 未打单  查看 
1501192932966 2015-01-19 20:27:47 未打单  查看 
1501192937056 2015-01-19 21:31:01 未打单  查看 
1501192939568 2015-01-19 22:02:08 未打单  查看 
1501192941346 2015-01-19 22:25:13 未打单  查看 
1501192942587 2015-01-19 22:45:13 未打单  查看 
1501192942878 2015-01-19 22:49:25 未打单  查看 
1501202947240 2015-01-20 00:04:12 未打单  查看 
1501202947800 2015-01-20 00:22:41 未打单  查看 
1501202950000 2015-01-20 03:38:22 未打单  查看 
1501202951120 2015-01-20 07:14:41 未打单  查看 
1501202952110 2015-01-20 08:03:55 未打单  查看 
1501202954092 2015-01-20 09:06:58 未打单  查看 
1501202955240 2015-01-20 09:36:33 未打单  查看 
1501202960751 2015-01-20 10:37:04 未打单  查看 
1501202962042 2015-01-20 10:51:09 未打单  查看 
1501202968712 2015-01-20 11:49:59 未打单  查看 
1501202969171 2015-01-20 11:53:11 未打单  查看 
1501202970515 2015-01-20 12:13:20 未打单  查看 
1501202972723 2015-01-20 12:42:56 未打单  查看 
1501202973274 2015-01-20 12:52:02 未打单  查看 
1501202973533 2015-01-20 12:55:08 未打单  查看 
1501202974993 2015-01-20 13:08:41 未打单  查看 
1501202992465 2015-01-20 16:57:20 未打单  查看 
1501203002596 2015-01-20 20:31:41 已打单  查看 
1501213021161 2015-01-21 08:11:14 未打单  查看 
1501213022559 2015-01-21 08:11:14 未打单  查看 
1501213024030 2015-01-21 09:30:35 未打单  查看 
1501223090712 2015-01-22 10:38:14 未打单  查看 
1501223098123 2015-01-22 12:15:29 未打单  查看 
1501223098854 2015-01-22 12:31:26 未打单  查看 
1501223121926 2015-01-22 20:25:16 未打单  查看


修复方案:

不知道,上次有个比这个权限还大。。。 不管你怎么狡辩,反正我是进后台了。。。

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-01-24 22:12

厂商回复:

感谢支持

最新状态:

2015-01-26:已改

漏洞评价:

评论

  1. 2015-01-26 22:45 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @蜜芽宝贝 收了不打算送个小礼物表示下吗,哈哈,淫笑