漏洞概要
关注数(24)
关注此漏洞
漏洞标题:国美某采购系统某漏洞导致大量用户、客户信息、订单泄露以及部分内部邮箱泄露
漏洞作者: ❤
提交时间:2015-06-23 08:18
修复时间:2015-06-28 08:20
公开时间:2015-06-28 08:20
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-06-23: 细节已通知厂商并且等待厂商处理中
2015-06-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
**
详细说明:
Url:http://a.g.gomesell.com/login/login.action
ROOT权限:
测试上传了个文本
http://a.g.gomesell.com/test.txt
上传成功.
测试上传菜刀:
http://a.g.gomesell.com/wooyun.jsp
密码:wooyun
数据库配置文件:
尝试链接了其中一个库(biz),查了下用户表
很多用户,测试了几个,基本都是用户密码相同登录:
大量订单泄露:
客户列表:
用户列表:
产品池:可以浏览产品列表,还有比价.还有价格监测(功能好多)
还有通讯录:
大量内部邮箱泄露:
尝试登录,可以登录:
manggodb泄露:
很多备份数据,看名字应该是关于大客户的:
漏洞证明:
修复方案:
版权声明:转载请注明来源 ❤@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-06-28 08:20
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无