漏洞概要
关注数(24)
关注此漏洞
漏洞标题:车猫网多个漏洞大礼包(涉及大量内部敏感信息)
提交时间:2015-08-13 15:29
修复时间:2015-09-27 15:38
公开时间:2015-09-27 15:38
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-08-13: 细节已通知厂商并且等待厂商处理中
2015-08-13: 厂商已经确认,细节仅向厂商公开
2015-08-23: 细节向核心白帽子及相关领域专家公开
2015-09-02: 细节向普通白帽子公开
2015-09-12: 细节向实习白帽子公开
2015-09-27: 细节向公众公开
简要描述:
4个漏洞打包提交!
车猫致力于建立中国最大的二手车交易平台,为消费者提供二手车交易的顾问服务、金融贷款服务和售后保障产品,车猫秉承着“让买卖二手车更简单”的理念,不断完善产品体验,设计提供更加简单便捷交易的产品为用户提供独一无二的消费体验,让消费者体验安全、保障、舒适和放心的购车经历,其中包括:全国覆盖面最广车源最多的线上二手车商城,降低消费门槛、提升购车体验的专业购车顾问团队,杜绝欺诈、保障二手车品质的车猫认证与质保服务,快速便捷的贷款、抵押等金融服务,以及完善一站式体验的各种汽车后市场服务等。
详细说明:
1.车猫网邮箱弱口令
system@dongdalou.com
fcwl1234
打码
2.车猫网ftp弱口令包含敏感信息
cert.chemao.com.cn=112.124.20.137
ftpuser
fcwl1234
漏洞证明:
3.车猫网某分站敏感信息泄漏
http://bc.chemao.com.cn/.svn/entries
4.车猫网某站敏感信息泄漏/包含支付各大任意接口id号
http://a.chemao.com.cn//.svn/entries
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-08-13 15:37
厂商回复:
确实泄露了我们的一些重要信息,多谢发现并及时提醒。后续我们会在细节处更加注意安全。
最新状态:
暂无