当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014028

漏洞标题:网易邮箱关联漏洞可进入未知用户邮箱

相关厂商:网易

漏洞作者: 伪英雄

提交时间:2012-10-29 19:17

修复时间:2012-10-31 12:04

公开时间:2012-10-31 12:04

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-29: 细节已通知厂商并且等待厂商处理中
2012-10-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网易邮箱关联漏洞,可以进入未知用户的邮箱

详细说明:

今天用自己的邮箱关联了班级的公共邮箱,然后就发现自动关联了我们班另外一个同学的邮箱,可以进入他的邮箱进行所有操作。向他求证之后发现,他之前用自己的邮箱与班级的公共邮箱也进行了关联。当我取消了对同学的邮箱和班级公共邮箱的关联之后,再次关联班级公共邮箱则不再自动关联同学的邮箱。

漏洞证明:

1.用户weilihero与weilihero1的邮箱进行关联:


2.用户weilihero2与weilihero1的邮箱也进行关联:


3.用户weilihero2发现与weilihero的邮箱自动进行了关联:


4.用户weilihero2可以进入weilihero的邮箱进行操作:


5.用户weilihero2取消了对weilihero和weilihero1的关联之后再重新关联weilihero1,则不会出现自动关联weilihero的情况:




修复方案:

建议在功能设计上进行相应的修复

版权声明:转载请注明来源 伪英雄@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-10-31 12:04

厂商回复:

感谢您对网易的关注,该问题并不是安全漏洞。

最新状态:

暂无