光线CMS管理员弱口令+未知webshell导致数据全部泄露

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011876

漏洞标题：光线CMS管理员弱口令+未知webshell导致数据全部泄露

漏洞作者：苦战

提交时间：2012-09-07 16:45

修复时间：2012-10-22 16:46

公开时间：2012-10-22 16:46

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-09-07：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-10-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

网站存在webshell导致数据全部泄露！（管理员疏忽自己放的，还是已经被人拿过？）

详细说明：

无意中社工到光线CMS论坛版主账户上去溜达发现网站存在一句话，然后就链接上去了，然后就拿到了MYSQL账户密码，然后就看到了好多用户信息，没有技术含量，纯属巧合！

漏洞证明：

这个不知道是谁放的一句话，直接用菜刀链接上去了。。。。

然后拿到了MYSQL的账户跟密码。。。。。。

然后裤子就被脱了~

修复方案：

删除一句话，修改管理员账户密码，顺便说一句，哪里买的服务器速度慢死了~

版权声明：转载请注明来源苦战@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011876

漏洞标题：光线CMS管理员弱口令+未知webshell导致数据全部泄露

相关厂商：光线CMS

漏洞作者：苦战

提交时间：2012-09-07 16:45

修复时间：2012-10-22 16:46

公开时间：2012-10-22 16:46

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源苦战@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011876

漏洞标题：光线CMS管理员弱口令+未知webshell导致数据全部泄露

相关厂商：光线CMS

漏洞作者： 苦战

提交时间：2012-09-07 16:45

修复时间：2012-10-22 16:46

公开时间：2012-10-22 16:46

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-011876"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 苦战@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：苦战

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源苦战@乌云