当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153223

漏洞标题:点到为止之证大向上金融CVS信息泄露

相关厂商:xiangshang360.com

漏洞作者: 路人甲

提交时间:2015-11-10 11:04

修复时间:2015-12-25 11:16

公开时间:2015-12-25 11:16

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-10: 细节已通知厂商并且等待厂商处理中
2015-11-10: 厂商已经确认,细节仅向厂商公开
2015-11-20: 细节向核心白帽子及相关领域专家公开
2015-11-30: 细节向普通白帽子公开
2015-12-10: 细节向实习白帽子公开
2015-12-25: 细节向公众公开

简要描述:

rt

详细说明:

http://mail.xiangshang360.com/CVS/Root
http://mail.xiangshang360.com/CVS/Entries

漏洞证明:

整理信息之:

:pserver:yangxiaopeng@192.168.188.14:/usr/local/cvsroot


/01_basic_init.html/1.9/Fri Apr  1 01:35:14 2011//
/263login.jsp/1.2/Thu Jan 6 10:07:56 2011//
/263login_cn.jsp/1.2/Wed Jan 12 05:13:50 2011//
/263login_en.jsp/1.3/Fri Apr 1 01:35:14 2011//
/263login_hk.jsp/1.3/Fri Apr 1 01:35:14 2011//
/263login_jp.jsp/1.3/Fri Apr 1 01:35:14 2011//
/263login_ko.jsp/1.3/Fri Apr 1 01:35:14 2011//
D/META-INF////
/Plan.xml/1.2/Mon Jul 20 11:01:30 2009//
D/Scripts////
D/WEB-INF////
/addressMerger.jsp/1.12/Tue Dec 21 10:59:08 2010//
/addressMergerClose.jsp/1.1/Mon Jul 26 05:35:30 2010//
/blank.html/1.1/Fri Jan 8 01:51:34 2010//
/bug.html/-1.1/Wed Nov 4 10:10:58 2009//
D/cctv////
/code.jsp/1.11/Wed Sep 28 03:12:44 2011//
D/codebase////
/compress.sh/1.1/Wed Feb 3 00:46:14 2010/-kb/
/compress_css.sh/1.4/Thu Jun 3 12:02:16 2010/-kb/
/compress_js.sh/1.3/Thu Jun 3 12:02:44 2010/-kb/
/css.css/1.5/Thu Jan 21 01:02:00 2010//
D/developJs////
/domain_banner.gif/-1.1/Fri Dec 11 09:44:36 2009/-kb/
/domain_logo.gif/-1.1/Fri Dec 11 09:44:36 2009/-kb/
/events.xml/1.1/Tue May 4 01:21:20 2010//
D/example////
/f1.jsp/1.1/Mon Jul 20 11:01:30 2009//
D/fakeData////
/firebug.html/1.1/Thu Nov 26 01:24:06 2009//
/gbk.htm/-1.3/Wed Dec 2 09:00:28 2009//
/gbk.html/1.9/Thu Dec 30 06:09:32 2010//
/gbk1.html/1.3/Wed Dec 2 09:00:28 2009//
/gbk_new.html/1.1/Fri Sep 3 10:18:36 2010//
/getCode.jsp/1.1/Sat Oct 24 08:04:22 2009//
/getImg.jsp/1.8/Fri Jun 18 09:49:12 2010//
/getlsd.html/1.3/Thu Dec 2 03:22:28 2010//
/gridPanel.html/-1.1/Mon Jul 20 11:01:30 2009//
/gridPanel1.html/-1.1/Mon Jul 20 11:01:30 2009//
/help.html/1.3/Wed Dec 2 09:01:08 2009//
D/helpMail////
D/images////
D/imges////
/index.html/-1.41/Tue Jun 22 05:29:48 2010//
/index.jsp/1.24/Wed Sep 28 03:12:44 2011//
/index2.html/-1.9/Mon Jun 28 10:07:26 2010//
/index3.html/-1.7/Tue Mar 2 09:59:28 2010//
/index_fakeData.html/1.1/Sat May 1 11:22:10 2010//
D/javascript////
D/js////
/jsonServer.jsp/1.1/Mon Jul 20 11:01:30 2009//
/largeAttach.json/1.1/Wed Dec 2 09:00:56 2009//
D/largeCustomer////
/layout.css/1.2/Wed Sep 28 03:12:46 2011//
D/loading////
/login.html/-1.8/Wed Dec 2 08:14:18 2009//
/login.jsp/1.3/Wed Sep 28 03:12:46 2011//
/login1.html/-1.1/Sat Jan 9 13:10:20 2010//
/login123.html/-1.1/Sat Jan 9 13:06:38 2010//
D/login_images////
/logincss.css/1.4/Tue Jul 26 09:43:38 2011//
/mailErrorNum.html/1.1/Mon Aug 8 08:32:50 2011//
D/mailSetting////
D/manage////
D/mobile////
/pass.jsp/1.1/Thu Jun 23 11:25:42 2011//
D/plugins////
/printMail.html/1.8/Wed Oct 20 11:12:36 2010//
/readMail.html/1.8/Tue Dec 21 10:59:08 2010//
D/resource////
/setpass.html/1.1/Tue Mar 15 22:15:44 2011//
/signInfoList.json/1.1/Fri Dec 4 13:17:04 2009//
D/style////
D/stylesheet////
/test.html/-1.5/Mon May 10 06:31:14 2010//
/test.js/-1.5/Fri Dec 11 09:44:36 2009//
/testJ.jpg/-1.1/Tue Aug 4 02:37:10 2009/-kb/
/up.jsp/-1.1/Wed Sep 15 04:41:44 2010//
/utf8.html/-1.2/Fri Jan 8 01:51:34 2010//
/wm_header.gif/-1.1/Wed Dec 16 08:38:06 2009/-kb/

修复方案:

我是来找礼物的!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-11-10 11:14

厂商回复:

邮箱提供商漏洞 已与供应商联系

最新状态:

暂无