某大型P2P理财网站某处漏洞导致将近80W会员存在隐患 | wooyun-2015-0103952

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0103952

漏洞标题：

某大型P2P理财网站某处漏洞导致将近80W会员存在隐患

漏洞详情

披露状态：

2015-03-26：细节已通知厂商并且等待厂商处理中
2015-03-26：厂商已经确认，细节仅向厂商公开
2015-03-26：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

某大型P2P理财网站某处漏洞导致将近80W会员存在隐患

详细说明：

上海诺诺镑客金融信息服务有限公司（nonobank.com）成立于2009年，是国内成立时间最长的互联网金融信息服务平台之一。
上海诺诺镑客金融信息服务有限公司在借贷信息的收集、验证、整理、发布、对接、分析等方面，以及通过第三方合作（银行、第三方支付公司）对借贷资金的核算、结算、支付等方面，为借贷双方提供一站式金融信息服务。

漏洞证明：

论坛创始人弱口令http://bbs.nonobank.com/uc_server
密码admin

define('UC_CONNECT', 'mysql');
define('UC_DBHOST', ‘172.16.0.77');
define('UC_DBUSER', 'nonobank');
define('UC_DBPW', 'nonobank!@#');
define('UC_DBNAME', 'ultrax');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`ultrax`.pre_ucenter_');
define('UC_DBCONNECT', '0');
define('UC_KEY', 'dcTeee89k4s8o3Kb9dv0oeR71aZ5Tek7k9qbK113zcJe86BdTc*******');（安全起见后面隐藏部分内容）
define('UC_API', 'http://bbs.nonobank.com/uc_server');
define('UC_CHARSET', 'utf-8');
define('UC_IP', '');
define('UC_APPID', '1');
define('UC_PPP', '20');

修复方案：

修复

版权声明：转载请注明来源 Ch丶0nly@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2015-03-26 22:58

厂商回复：

非常感谢你发现的问题。您的鞭策，我们才能提供更好的服务

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ch丶0nly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ch丶0nly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞