当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059635

漏洞标题:某邮件系统多处安全漏洞打包(任意账户劫持等)

相关厂商:北京春笛网络信息技术服务有限公司

漏洞作者: xfkxfk

提交时间:2014-05-06 12:40

修复时间:2014-08-04 12:42

公开时间:2014-08-04 12:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-06: 细节已通知厂商并且等待厂商处理中
2014-05-10: 厂商已经确认,细节仅向厂商公开
2014-05-13: 细节向第三方安全合作伙伴开放
2014-07-04: 细节向核心白帽子及相关领域专家公开
2014-07-14: 细节向普通白帽子公开
2014-07-24: 细节向实习白帽子公开
2014-08-04: 细节向公众公开

简要描述:

某邮件系统多处漏洞打包(任意账户劫持+任意文件删除)

详细说明:

JDMAIL金迪邮件系统
部分客户名单:http://www.mailer.com.cn/Products6.html,用户量挺大。
官方demo地址:http://www.mailer.com.cn/demo/
测试地址:http://mail.mailer.cn/
测试账号:vip987@mailer.cn、test@mailer.cn、chyb@mailer.cn、postmaster@root
第一处漏洞:任意密码重置
在用户找回密码时,只能通过找回密码问题进行找回密码。
当成功找回密码成功时,发送的链接如下:
链接:http://mail.mailer.cn/jdwm/cgi/getpwd.cgi
POST:three=1&email=username%40mailer.cn&newp=password1&newp2=password2
这里的email就是需要修改的用户名,后面为修改的密码。
这里我们只需要修改post里面的email即可修改对应的用户密码。
测试用户test@mailer.cn
尝试密码123456,登陆失败:

1.png


我们来修改此用户名的密码为123456:

2.png


此时已经修改成功了,可以直接登陆了:

3.png


第二处漏洞:多处存储型XSS可劫持用户cookie
第一处XSS:
在发送邮件时,邮件主题处存在存储型XSS,可劫持账户。
官方demo:http://mail.mailer.cn/
官方测试帐号vip987@mailer.cn, test@mail.cn
vip987@mailer.cn给用户test@mail.cn发送如下Email内容:

4.png


来看看test@mail.cn用户收到的Email时:

5.png


test@mail.cn打开Email查看时就被劫持了。
第二处XSS:
在邮件正文添加文件,在文件说明处存在存储型xss。
用vip987@mail.cn发送邮件给test@mail.cn时
在邮件正文添加文件,在文件说明处填入xss code

6.png


然后发送邮件。
然后登录test@mail.cn时,查看邮件时即触发xss code:

7.png


此漏洞可劫持任意用户。
第三处XSS
此处xss很隐蔽,需要按步骤操作才可触发!!!
在发送邮件时,添加图片,图片说明处存在存储型XSS,可劫持账户。
官方demo:http://mail.mailer.cn/
官方测试帐号vip987@mailer.cn, test@mail.cn
vip987@mailer.cn给用户test@mail.cn发送如下Email内容:

11.png


=================================
一定要注意这一步:
先不要填写收件人,点击发送按钮,系统会提示让你输入收件人
然后再填写收件人,再次发送邮件,成功发送
如果不经过上一步,直接发送邮件时,是不存在xss的。
==================================
来看看test@mail.cn用户收到的Email时:

12.png


test@mail.cn打开Email查看时就被劫持了。
第四处XSS
在发送邮件时,添加签名,签名处存在存储型XSS,可劫持账户。
官方demo:http://mail.mailer.cn/
官方测试帐号vip987@mailer.cn, test@mail.cn
首先我们来添加个人签名:

13.png


并设置wie默认签名
然后vip987@mailer.cn给用户test@mail.cn发送如下Email内容:
发邮件时,默认会使用我们的签名

14.png


来看看test@mail.cn用户收到的Email时:

15.png


test@mail.cn打开Email查看时就被劫持了。
第三处漏洞:越权操作删除任意用户文件
在此邮件系统有网盘文件,任意用户可创建文件夹及上传文件。
在网盘文件描述中:只有用户自己创建的文件夹和文件才有删除的权限。
这里存在漏洞,任意用户可以删除其他用户的文件及文件夹,包括管理员的文件。
首先vip987@mail.cn新建一个文件夹:

8.png


vip987@mail.cn有删除权限如图。
删除该文件的连接为:http://mail.mailer.cn/jdwm/cgi/file_disk.cgi?0+0+0++unlink=007
然后登录另外一个用户test@mail.cn,可以看到vip987的文件夹及文件内容。
但是没有删除的权限,如图所示,没有删除的连接:

9.png


然后test@mail.cn用户访问删除vip987文件的连接:
http://mail.mailer.cn/jdwm/cgi/file_disk.cgi?0+0+0++unlink=007
这样就可删除vip987@mail.cn用户创建的文件夹。
最后登录用户vip987@mail.cn查看网盘内容:

10.png


文件夹vip987已经被删除了。
同理可删除管理员等任意用户的文件夹及文件内容。

漏洞证明:

见详细说明

修复方案:

过滤,加强验证

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-05-10 00:03

厂商回复:

CNVD确认并复现所述多个实例情况,已经转由CNCERT直接向软件生产厂同北京春笛网络信息技术服务有限公司 李女士通报,该公司反馈了解决方案。后续CNVD将继续根据用例情况,协调处置用户案例情况。按多个漏洞和多个实例进行评分,rank 20

最新状态:

暂无