漏洞概要
关注数(24)
关注此漏洞
漏洞标题:慧评网某处配置不当导致敏感信息泄露(近10W家酒店信息泄露)
提交时间:2016-01-25 08:48
修复时间:2016-03-08 21:29
公开时间:2016-03-08 21:29
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2016-01-25: 细节已通知厂商并且等待厂商处理中
2016-01-25: 厂商已经确认,细节仅向厂商公开
2016-02-04: 细节向核心白帽子及相关领域专家公开
2016-02-14: 细节向普通白帽子公开
2016-02-24: 细节向实习白帽子公开
2016-03-08: 细节向公众公开
简要描述:
直接导致所有酒店账号密码泄露,涉及全国近10W家酒店数据信息泄露。
详细说明:
漏洞厂商:众芸 酒店智慧
上海益商网络科技有限公司版权所有
通过漏洞可直接获取所有酒店账号密码 3W+
可管理全国各地酒店近10W家
可控内容包括酒店声誉管理,运营质检,收益管理,酒店名片,以及对集团下所有酒店管理
漏洞证明:
漏洞是通过一个mongodb未授权访问导致mysql数据库,邮箱等配置信息泄露
mysql数据库允许外连直接导致多个数据库数据泄露
得到数据库配置信息
3W+账号密码
涉及酒店近10W家
随便登陆一个橘子酒店的测试下
同时可对集团下所有酒店进行管理,数据分析
这样基本涵盖了大部分酒店了。。。
修复方案:
mongodb访问控制
Mysql密码修改,禁止外连
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-01-25 09:43
厂商回复:
给个联系方式吧!
最新状态:
暂无
漏洞评价:
评价
-
2016-01-25 10:06 |
niliu ( 核心白帽子 | Rank:1623 漏洞数:218 | 逆流而上)