当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2016-0183403
漏洞标题:
互联网电视服务商重要系统未授权访问涉及大量敏感信息
相关厂商:
天脉聚源(北京)传媒科技有限公司
漏洞作者:
几何黑店
提交时间:
2016-03-11 17:37
修复时间:
2016-04-25 17:37
公开时间:
2016-04-25 17:37
漏洞类型:
敏感信息泄露
危害等级:
自评Rank:
20
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2016-03-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

互联网电视服务商重要系统未授权访问涉及大量敏感信息

详细说明:

http://sysadmin.v3.tvmining.com/tsysadmin


未授权访问,可直接查看配置文件信息

QQ图片20160311160323.png


QQ图片20160311160115.png


QQ图片20160311160813.png


4.0新版后台

http://cloudcenter.tvmining.com/tmcloudcenter/


利用我们刚才获取的数据库密码去尝试登陆
admin/tvmining@123

QQ图片20160311160920.png


QQ图片20160311160954.png


QQ图片20160311161024.png


QQ图片20160311161121.png


QQ图片20160311161150.png


QQ图片20160311161336.png


大部分密码都是tvmining@123或者tvm@123

漏洞证明:

从这个地址里发现个链接,打开看看

https://dev.tvmining.com/wiki/index.php?title=DSP-Aliyun-CentOS6


QQ图片20160311161745.png


QQ图片20160311161820.png


我们来访问看看

http://cloudcenter.tvmining.com/tmpkgbuilder/


QQ图片20160311161940.png


QQ图片20160311161951.png


QQ图片20160311162127.png


不光可以下载源码还可以上传文件

修复方案:

你懂的

版权声明:转载请注明来源 几何黑店@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)