当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118801

漏洞标题:威朋lbs系统命令执行漏洞,致敏感数据泄露

相关厂商:上海有的放矢广告有限公司

漏洞作者: 路人甲

提交时间:2015-06-10 08:45

修复时间:2015-07-27 20:06

公开时间:2015-07-27 20:06

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-10: 细节已通知厂商并且等待厂商处理中
2015-06-12: 厂商已经确认,细节仅向厂商公开
2015-06-22: 细节向核心白帽子及相关领域专家公开
2015-07-02: 细节向普通白帽子公开
2015-07-12: 细节向实习白帽子公开
2015-07-27: 细节向公众公开

简要描述:

移动广告公司Vpon威朋今日宣布完成B轮千万美金融资,投资方包括曾投资Facebook的顶尖金融巨头,以及亚洲知名资本。Vpon将以此资金在亚太地区积极拓展业务,并扩大研发规模,预计将吸引大批国际化研发、销售、以及产品技术等人才加入。
同时,Vpon威朋首席执行官吴诣泓亦对外宣布,将对公司进行重新定位,从大家熟知的移动广告业务,更进一步迈向移动数据领域,重新定义自己为一家移动数据公司,主要商务模式为移动广告,未来不排除在广告以外的行业进行更多类型的商业模式探索。
吴诣泓表示,此B轮融资后,将加大移动数据研发团队的投入,大举招募研发技术人才,让数据价值可以更深入各行各业中。初期会持续强化在移动广告的数据价值变现能力,借由过去独家发展的LBS(Location-based Service)移动广告、情境广告(Scenario-based ad)的运营经验,积极发展数据资料与广告的结合,同时更大幅度的在亚洲各地区进行业务拓展工作,其中,日本分公司也将于本季开始正式营运。
Vpon威朋在亚洲拥有超过3.8亿不重复用户数,是一相当有利的制胜关键。在超过1.28亿的月活跃独立用户前提下,对于发展移动数据的价值拥有更多机会和优势。Vpon威朋全球研发中心位于台北,亚洲运营总部位于上海,并在香港、日本等地设有分公司。
关于Vpon
Vpon 威朋成立于2008年,专注在移动互联网的数据分析以及移动广告领域,广告业务涵盖750多个城市,是亚洲地区成长最迅速的移动广告/移动数据公司。并入选为2014年《Forbes China福布斯中国》中国最具潜力中小企业100强,并荣获第6名。

详细说明:

看到cn了吗?这难道是只中国大陆地区??
http://cn.pub.vpon.com/xpon/login.action
那么tw呢?
http://tw.pub.vpon.com/xpon/register.action

漏洞证明:

大陆那个,居然没路径

1.png


台湾的,路径为 /usr/local/adon/adon-xpon

2.png


现在我怀疑它俩是不是同一服务器!!!
数据库配置文件

3.png


下载的数据库备份文件

9.png


91.png


10.png


用户数据库

2.png


1.png


这么大的数据备份。吓死我了。下到一半我就想办法取消了。。

2.png

修复方案:

你们比我更专业!!!
能送小礼物吗???

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-12 20:04

厂商回复:

最新状态:

暂无