当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109250

漏洞标题:盛大测试环境某后台弱口令导致敏感信息泄露

相关厂商:盛大网络

漏洞作者: 路人甲

提交时间:2015-04-20 19:17

修复时间:2015-06-05 09:24

公开时间:2015-06-05 09:24

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-20: 细节已通知厂商并且等待厂商处理中
2015-04-21: 厂商已经确认,细节仅向厂商公开
2015-05-01: 细节向核心白帽子及相关领域专家公开
2015-05-11: 细节向普通白帽子公开
2015-05-21: 细节向实习白帽子公开
2015-06-05: 细节向公众公开

简要描述:

看看时间,还有半个小时就下班了,那就收拾收拾提交了吧,还要赶回去吃饭呢......

详细说明:

盛大有你数据平台2.0

http://61.151.247.130:8080


弱口令:admin/123456

index.png


随便点开一个任务,参数优化,可以看到任务的参数信息,至此确认是盛大网络的没跑了,看出是有你的,是从帮助文档里判断出来

sndaverified.png


youni.png


在参数优化界面,可以看到详细的配置信息,里边保存了用户名和密码,密码应该是48位MD5加密的,暂时还没弄出来

48MD5.png


这应该是一个Hadoop的管理控制平台,因为没玩过Hadoop,所以有错误还请指正。
多翻翻任务,还是能看到各种内网的信息,IP、端口、地址等等。

漏洞证明:

见详细说明

修复方案:

很常见的问题就用很常见的方式解决喽

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-04-21 09:23

厂商回复:

谢谢报告,已经转交给youni!

最新状态:

暂无