当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07643

漏洞标题:乌云平台逻辑缺陷导致某些信息泄漏

相关厂商:乌云官方

漏洞作者: 小雨

提交时间:2012-05-29 15:48

修复时间:2012-07-13 15:48

公开时间:2012-07-13 15:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-29: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经确认,细节仅向厂商公开
2012-06-08: 细节向核心白帽子及相关领域专家公开
2012-06-18: 细节向普通白帽子公开
2012-06-28: 细节向实习白帽子公开
2012-07-13: 细节向公众公开

简要描述:

你懂的

详细说明:

漏洞信息详情会提前泄漏一部分给公众,而且有些信息是相当严重的漏洞细节信息。
会危害未公开漏洞的网站的安全。
风险比较高。希望乌云尽快修复。

漏洞证明:

http://www.wooyun.org/feeds/hot 这个feed泄漏了部分暂未公开的详细信息。
<rss version="2.0">
<channel>
<title>wooyun.org 最新热点漏洞</title>
<link>http://www.wooyun.org</link>
<ttl>5</ttl>
<description>wooyun.org</description>
<language>zh-cn</language>
<generator>www.wooyun.org</generator>
<webmaster>[email protected]</webmaster>
<item>
<link>http://www.wooyun.org/bug.php?action=view&id=7606</link>
<title>
<![CDATA[ 新浪某网页游戏存在安全隐患,可刷官方各种礼包. ]]>
</title>
<description>
<![CDATA[
<strong>简要描述:</strong><br/>由于某配置文件泄露引发的血案。可刷各种礼包key,其中白金的是很给力的。
对于做黑产的而已这个就不用解释了。影响是很大的,自评20分绝对不过分。
处于对厂商的保护,所以上多图。
最后说
]]>
<![CDATA[
句国内的网页游戏,安全堪忧。<br/><strong>详细说明:</strong><br/>入口 http://xxxxx.xxxxxx.wanwan.sina.com/xxxxx/xxxx.xml

具体地址你们应该清楚了。不废话了,直接上多图。

&lt;img src=&quo...<br/><br/><strong><a href="http://www.wooyun.org/bug.php?action=view&id=7606" target="_blank">更多内容 &gt;&gt;</a></strong>
]]>
</description>
<pubDate>Thu, 01 Jan 1970 08:00:00 +0800</pubDate>
<category/>
<author>zeracker</author>
<guid>http://www.wooyun.org/bug.php?action=view&id=7606</guid>
</item>
...因有敏感的未公开漏洞信息,不方便贴出,以下内容略去几k...
</channel>
</rss>
而此时访问
http://www.wooyun.org/bug.php?action=view&id=7606
可以看到“目前细节只向厂商公开”。
披露状态:
2012-05-28: 细节已通知厂商并且等待厂商处理中
2012-05-28: 厂商已经确认,细节仅向厂商公开
简要描述:
由于某配置文件泄露引发的血案。可刷各种礼包key,其中白金的是很给力的。
对于做黑产的而已这个就不用解释了。影响是很大的,自评20分绝对不过分。
处于对厂商的保护,所以上多图。
最后说句国内的网页游戏,安全堪忧。
漏洞hash:81389aa197f22842cfa7f3144fe74e99
-------------------------------
虽然泄漏的内容被截取了,长度有限,但是可见的部分已经能让人做很多事情了。

修复方案:

你懂的

版权声明:转载请注明来源 小雨@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2012-05-29 16:04

厂商回复:

由于近期漏洞整理,一些刚提交的漏洞也会进入精华评选(之前的操作是只有等公开之后才会评选),导致少部分信息泄漏(content的前100个字节),目前为止影响为极少数少数(精华漏洞比较少,还未对核心开放的的只有一个),已经修复了

最新状态:

暂无