漏洞概要
关注数(24)
关注此漏洞
漏洞标题:运营商安全之中国电信189邮箱系统可Getshell(内含多库可致大量内网敏感信息泄漏)
提交时间:2016-01-07 12:56
修复时间:2016-02-22 16:48
公开时间:2016-02-22 16:48
漏洞类型:系统/服务补丁不及时
危害等级:高
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-01-07: 细节已通知厂商并且等待厂商处理中
2016-01-11: 厂商已经确认,细节仅向厂商公开
2016-01-21: 细节向核心白帽子及相关领域专家公开
2016-01-31: 细节向普通白帽子公开
2016-02-10: 细节向实习白帽子公开
简要描述:
可泄漏近大量用户姓名,联系方式,地址。
大量内网敏感信息。
详细说明:
http://**.**.**.**:4180/login/login.do 存在sturts2命令执行漏洞
web路径为: /opt/hermes/billManager/resin_billmanager/webapps/bill/
内附大量用户信息。
数据库太多了,就不仔细一一连接了。可以肯定的是,这绝对绝对不是测试系统!
漏洞证明:
某表段包含过亿数据,无奈mysql查询时直接卡死,管理员也没有进行索引
修复方案:
你们是当社工库一样使用了么?
数据库太多了,就不仔细一一连接了。可以肯定的是,这绝对绝对不是测试系统!
数据库太多了,就不仔细一一连接了。可以肯定的是,这绝对绝对不是测试系统!
版权声明:转载请注明来源 李旭敏@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2016-01-11 15:42
厂商回复:
CNVD确认所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.
最新状态:
暂无
漏洞评价:
评价
-
2016-01-07 13:08 |
whynot ( 普通白帽子 | Rank:553 漏洞数:100 | 为你解冻冰河 为你放弃世界有何不可)
前排留名 求大牛指导structs200getshell技巧
-
2016-01-07 14:00 |
小红猪 ( 普通白帽子 | Rank:285 漏洞数:49 | little red pig!)
-
2016-01-07 14:44 |
牛 小 帅 ( 普通白帽子 | Rank:1071 漏洞数:248 | 1.乌云最帅的男人 ...)
-
2016-01-07 17:04 |
蓝天 ( 普通白帽子 | Rank:414 漏洞数:101 | 互联网上拾破烂的胖子)
牛逼666666666666 李姐姐 我要给你生猴子
-
2016-01-07 18:44 |
Can ( 实习白帽子 | Rank:73 漏洞数:22 | 天地不仁 以万物为刍狗)
.........为什么我40rank了还是一名路人
-
2016-01-07 21:49 |
坏男孩-A_A ( 路人 | Rank:28 漏洞数:12 | 膜拜学习中)