漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2013-09-13: 细节已通知厂商并且等待厂商处理中
2013-09-18: 厂商已经确认,细节仅向厂商公开
2013-09-28: 细节向核心白帽子及相关领域专家公开
2013-10-08: 细节向普通白帽子公开
2013-10-18: 细节向实习白帽子公开
2013-10-28: 细节向公众公开
简要描述:
几个政府网站的服务器配置不当导致源码泄露(部分可以遍历目录)
详细说明:
几个政府网站的服务器配置不当导致源码泄露(部分可以遍历目录)
其中几个是省级的政府站点。
漏洞证明:
http://app.shzj.gov.cn:9080/shzjwar/jsp/jzgcww/bzh/bzdfbzapply/.svn/entries 上海质量监督局
========================================================================================
http://www.jm.gd-n-tax.gov.cn/skin/style/chaozhou/common/.svn/entries 广东省税务局
========================================================================================
http://www.jzg.lncom.gov.cn/ts/res/image/map/facility/scenic_spot/.svn/entries 辽宁省交通厅
========================================================================================
http://www.xjlottery.gov.cn/xjlottery/platform/openPrizeMessage/.svn/entries 新疆体彩网
========================================================================================
http://lesv.ivpp.ac.cn/app/webroot/css/.svn/entries 中国科学院脊椎动物进化系统学重点实验室
========================================================================================
http://wzdaj.wenzhou.gov.cn/wzdaweb/platformData/infoplat/pub/wzdaweb_2632/flash/.svn/entries 温州市档案网
========================================================================================
http://www.hongjiang.gov.cn/Shuguang_App/Data/.svn/entries
http://www.hongjiang.gov.cn/Shuguang_App/ 湖南洪江区政府网
========================================================================================
http://mzt.zj.gov.cn/themes/default/images/newyear/.svn/entries
http://mzt.zj.gov.cn/themes/ 浙江省民政厅
========================================================================================
http://wxzj.tzsjs.gov.cn/ 这个应该是台州市住房和城乡建设规划局的分站
======================================================================
图我就不截了,发url就行了。。
修复方案:
限制。。。
版权声明:转载请注明来源 Mosuan@乌云
>
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-09-18 08:59
厂商回复:
对于SVN信息泄露,此类漏洞可以基于扫描器批量检测,CNVD在后续测试过程中未能得到进一步的结果(SVN服务器大多部署内部网络),仅以信息泄露低危风险计,暂未列入CNVD处置流程。
rank 10
最新状态:
暂无