漏洞概要
关注数(24)
关注此漏洞
漏洞标题:挖财论坛某页面过滤不完整可任意读取部分用户手机号附Exp
提交时间:2015-06-19 08:30
修复时间:2015-06-24 08:32
公开时间:2015-06-24 08:32
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-06-19: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
漏洞说小也小,说大也大,只要不被黑产牛利用一切都是好的,不然满屏诈骗信息...
详细说明:
废话不多说,直接上图
问题出在这个URL上面
mod=spacecp 后面随便加个符号 比如我这里加的单引号,会以内部错误的原因将页面返还,并且手机号也完整的显示出来了...
漏洞证明:
Exp:
上图测试下效果
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-06-24 08:32
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
2015-06-24:感谢您的反馈,漏洞已紧急处理