当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048681

漏洞标题:中国电信多台设备共享网络警告页面链接泄露用户手机号码

相关厂商:中国电信

漏洞作者: 夜的咖啡

提交时间:2014-01-12 19:40

修复时间:2014-01-17 08:37

公开时间:2014-01-17 08:37

漏洞类型:内容安全

危害等级:中

自评Rank:7

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-12: 细节已通知厂商并且等待厂商处理中
2014-01-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网络共享警告页面链接泄露用户手机号码

详细说明:

上海电信校园宽带通过检测用户是否共享网络劫持插入网络共享警告。
网络共享警告页面的链接附带了用户上网的手机号码,在某些情况下被访问网站会检测到来源网站为该警告页面,并且附带了用户使用的手机号码,造成一定的上网用户隐私问题
警告页面URL:
http://101.95.32.237:34440/AsFds_1378178109211_Fjc/?user=用户手机号码

漏洞证明:

弹出警告页面

QQ20140112-3@2x.png


通过百度搜索该关键字
AsFds_1378178109211_Fjc
可以看到统计网站能统计到用户上网的帐号,且帐号即为手机号码

QQ20140112-2@2x.png

修复方案:

警告页面不附带用户手机号码

版权声明:转载请注明来源 夜的咖啡@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-01-17 08:37

厂商回复:

比对cvss 2.0评判标准,缓存信息不代表系统存在设计缺陷,且涉及url未对机密性
可用性和完整性构成实质性影响,暂未列入处置流程。

最新状态:

暂无