SAE预算设置界面暴露他人APP和云豆信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03746

漏洞标题：SAE预算设置界面暴露他人APP和云豆信息

漏洞作者：桔子

提交时间：2011-12-24 01:03

修复时间：2012-02-07 01:03

公开时间：2012-02-07 01:03

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：7

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-12-24：细节已通知厂商并且等待厂商处理中
2011-12-28：厂商已经确认，细节仅向厂商公开
2012-01-07：细节向核心白帽子及相关领域专家公开
2012-01-17：细节向普通白帽子公开
2012-01-27：细节向实习白帽子公开
2012-02-07：细节向公众公开

简要描述：

多人协作共同开发APP时，APP管理者的各个APP信息会暴露，账户的云豆余额也会暴露。

详细说明：

进入开发者账号A（该账号至少有2个APP）的任意一个APP，选择成员管理，将另外一个开发者账号B（无要求，可以无任何权限）加为管理员。退出账号A。
进入开发者账号B，接受A的应用邀请。进入A共享的应用，选择应用信息-预算设置，在最左边可以看到账户A的云豆余额和所有APP的名称还有预算设置。

漏洞证明：

修复方案：

改进预算设置页面的身份验证代码。

版权声明：转载请注明来源桔子@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：2

确认时间：2011-12-28 11:43

厂商回复：

感谢提供，正在处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03746

漏洞标题：SAE预算设置界面暴露他人APP和云豆信息

相关厂商：新浪

漏洞作者：桔子

提交时间：2011-12-24 01:03

修复时间：2012-02-07 01:03

公开时间：2012-02-07 01:03

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：7

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源桔子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03746

漏洞标题：SAE预算设置界面暴露他人APP和云豆信息

相关厂商：新浪

漏洞作者： 桔子

提交时间：2011-12-24 01:03

修复时间：2012-02-07 01:03

公开时间：2012-02-07 01:03

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：7

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2011-03746"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 桔子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：桔子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源桔子@乌云