漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-04487
漏洞标题:搜狐某分站权限绕过及重要敏感信息泄露!
相关厂商:搜狐
漏洞作者: zeracker
提交时间:2012-02-14 01:15
修复时间:2012-03-30 01:15
公开时间:2012-03-30 01:15
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-02-14: 细节已通知厂商并且等待厂商处理中
2012-02-14: 厂商已经确认,细节仅向厂商公开
2012-02-24: 细节向核心白帽子及相关领域专家公开
2012-03-05: 细节向普通白帽子公开
2012-03-15: 细节向实习白帽子公开
2012-03-30: 细节向公众公开
简要描述:
12月初的时候发过了,但是是前些天才修复完毕的,具体看详情。通过某关键字,可以绕开权限,取得root。虽然修复了一部分,我想应该没用完全性的修复完毕。
详细说明:
http://www.google.com.hk/search?q=site%3Asohu.com+inurl%3Adb+mysql&hl=zh-CN&newwindow=1&safe=strict&gbv=2&prmd=ivns&ei=g0E5T6z4FuWuiQeum7SJAg&sa=N&oq=site%3Asohu.com+inurl%3Adb+mysql&aq=f&aqi=&
11月份的时候发现的, WooYun: 凤凰网多个分站后台泄露 有提到过的。
12月初的时候提交了,并且提示过了。但是没修复,12月底的时候又一次测试,没想到还是没修复。所以截了几张图留念,敏感信息没做任何传播,详图请看下面。希望能够彻底修复完毕,将图中的敏感信息.。。。。。..
若进一步测试,你懂的..
这个算不算高危?进一步测试攻击,后果不堪设想。当然我也怕怕。
QQ:2036234 希望能够认识下。有木有礼物赠送捏?
漏洞证明:
看图里的信息,就明显了。不做多的解释了,你懂的。。
好像有3000W+的数据吧。
有木有礼物赠送捏?
修复方案:
继续关注,你比我懂。原来图片地址的,我备份了,但是找不到了。
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-02-14 10:18
厂商回复:
此问题之前已处理,感谢报告:)
最新状态:
暂无