当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168765

漏洞标题:点融网maven仓库服务器Archiva后台漏洞一枚

相关厂商:点融网

漏洞作者: 爱上平顶山

提交时间:2016-01-11 11:39

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-14: 厂商已经确认,细节仅向厂商公开
2016-01-24: 细节向核心白帽子及相关领域专家公开
2016-02-03: 细节向普通白帽子公开
2016-02-13: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

···

详细说明:

点融网
随便看下:

https://github.com/chengtalent/SpringDemo/blob/1fae7c734120357d7e0b8ee2d0b3b28275145206/build.gradle
maven {
                url 'http://archiva.dianrong.com/repository/mirror'
                credentials {
                    username = 'developer'
                    password = 'welcome123'
                }
            }
            maven {
                url 'http://archiva.dianrong.com/repository/internal'
                credentials {
                    username = 'developer'
                    password = 'welcome123'
                }
            }
            maven {
                url 'http://archiva.dianrong.com/repository/snapshots'
                credentials {
                    username = 'developer'
                    password = 'welcome123'
                }


http://archiva.dianrong.com/
developer welcome123

QQ20160109-2@2x.png


QQ20160109-1@2x.png


QQ20160109-3@2x.png


QQ20160109-4@2x.png


。。。ok 闲了在看

漏洞证明:

···

修复方案:

版权声明:转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-01-14 19:05

厂商回复:

非常感谢您的反馈,该问题是由于离职员工将相关配置信息上传到github所致。archiva是apache下的开源项目,主要用来缓存maven官方的jar包等,这并不是我们的业务系统的一部分。
该问题目前已修复,我们会继续加强安全宣导,提升安全意识。感谢您对点融网安全的关注,欢迎提交漏洞到点融网安全应急响应中心或邮箱 ,我们会有精美礼品相送。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-11 11:40 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    666

  2. 2016-03-01 14:35 | 路人毛 ( 实习白帽子 | Rank:64 漏洞数:25 | Please speak in Chinese.)

    点融网应急相应 那是什么