当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115539

漏洞标题:我是如何得到小麦公社的通信录并与高层亲密接触的

相关厂商:小麦公社

漏洞作者: 路人甲

提交时间:2015-05-22 15:04

修复时间:2015-05-27 15:06

公开时间:2015-05-27 15:06

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-22: 细节已通知厂商并且等待厂商处理中
2015-05-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

第一次正式上门
在餐桌上,丈母娘问我:小杨啊,听嘉嘉说你自己买了房啊
我:是的,阿姨。
丈母娘:那不容易啊,现在房价很贵的啊~
我:为了娶嘉嘉,当然得努力,嘿嘿
丈母娘:哈哈,你这小伙子不错,阿姨到时候嫁妆也不会亏待你们的,你们结婚新房红木家具阿姨来,还有一部斯柯达。
我:阿姨客气了,呵呵
丈母娘:先吃菜,红烧鸡腿,吃吃看阿姨味道烧进去了吗?
听到房产证上没嘉嘉名字,个搜又把鸡腿夹回去了

详细说明:

当时我的手就抖了那么一下,结果发现了小麦公社的一个可用帐号,耦合和了
https://github.com/lewis-bo/niulanshan/blob/5b06fc102582e25ca0b16df0b0a6d0753c71cc3d/site/WebContent/WEB-INF/classes/email.properties

#Created by JInto - www.guh-software.de
#Thu Mar 06 18:01:25 CST 2014
from=noreply@imxiaomai.com
mail.smtp.auth=true
mail.smtp.host=smtp.qq.com
mail.smtp.port=465
mail.smtp.socketFactory.class=javax.net.ssl.SSLSocketFactory
mail.smtp.socketFactory.fallback=false
mail.smtp.socketFactory.port=465
password=xiaomai123
username=noreply@imxiaomai.com


经过测试,可以登录啊

漏洞证明:

2.png


嗯啊,进来了

1.png


呵呵,通信录啊
总裁,我来了!

CRO.png

修复方案:

让员工删了吧,员工离职删不了就把密码改了吧

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-27 15:06

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-06-02:感谢指出,我们已把此邮箱账户封掉,并要求设置邮箱密码复杂度