当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153345

漏洞标题:小马金融越权查看用户消息

相关厂商:小马金融信息服务有限公司

漏洞作者: Zhe

提交时间:2015-11-10 16:13

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-10: 细节已通知厂商并且等待厂商处理中
2015-11-20: 厂商已经确认,细节仅向厂商公开
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

RT

详细说明:

问题url:
https://www.xmjr.com/user/messageDetail?messageId=13580
修改messageid可查看他人消息
例如、

1.jpg


3995	尊敬的189*****989,您于2015-10-21 09:25:21使用手机18904714989注册了小马金融账号」
1744	尊敬的189*****955,您于2015-10-16 09:13:27使用手机18993381955注册了小马金融账号」
1520	尊敬的189*****777,您于2015-10-14 22:54:38使用手机18958505777注册了小马金融账号」
3907	尊敬的189*****510,您于2015-10-20 19:27:04使用手机18930940510注册了小马金融账号」
1726	尊敬的189*****495,您于2015-10-15 19:55:10使用手机18939521495注册了小马金融账号」
1981	尊敬的189*****446,您于2015-10-16 12:40:23使用手机18991055446注册了小马金融账号」
3612	尊敬的189*****331,您于2015-10-20 16:02:19使用手机18987193331注册了小马金融账号」
1762	尊敬的189*****302,您于2015-10-16 10:05:37使用手机18950738302注册了小马金融账号」
2987	尊敬的189*****122,您于2015-10-19 22:46:58使用手机18984808122注册了小马金融账号」
1771	尊敬的189*****092,您于2015-10-16 10:22:03使用手机18977938092注册了小马金融账号」
3959	尊敬的189*****091,您于2015-10-20 22:37:16使用手机18910262091注册了小马金融账号」
3950	尊敬的189*****052,您于2015-10-20 21:29:48使用手机18990175052注册了小马金融账号」
1954	尊敬的189*****010,您于2015-10-16 11:03:24使用手机18921971010注册了小马金融账号」
2021	尊敬的188*****975,您于2015-10-16 14:06:21使用手机18801732975注册了小马金融账号」
2422	尊敬的188*****942,您于2015-10-17 15:23:22使用手机18817835942注册了小马金融账号」
1978	尊敬的188*****919,您于2015-10-16 12:30:16使用手机18872917919注册了小马金融账号」
3991	尊敬的188*****724,您于2015-10-21 09:08:56使用手机18870341724注册了小马金融账号」
1760	尊敬的188*****323,您于2015-10-16 09:56:00使用手机18813112323注册了小马金融账号」
1507	尊敬的188*****036,您于2015-10-14 19:53:43使用手机18847696036注册了小马金融账号」
1525	尊敬的188*****016,您于2015-10-15 07:07:12使用手机18847622016注册了小马金融账号」
3960	尊敬的188*****014,您于2015-10-20 22:42:22使用手机18876305014注册了小马金融账号」
2457	尊敬的187*****974,您于2015-10-19 10:55:46使用手机18748132974注册了小马金融账号」
3958	尊敬的187*****946,您于2015-10-20 22:31:43使用手机18777951946注册了小马金融账号」
2203	尊敬的187*****913,您于2015-10-16 16:35:27使用手机18747616913注册了小马金融账号」
2223	尊敬的187*****889,您于2015-10-16 16:50:38使用手机18747618889注册了小马金融账号」
2194	尊敬的187*****851,您于2015-10-16 16:29:07使用手机18782488851注册了小马金融账号」
2915	尊敬的187*****776,您于2015-10-19 16:57:24使用手机18747278776注册了小马金融账号」
3922	尊敬的187*****719,您于2015-10-20 20:07:07使用手机18735742719注册了小马金融账号」
3936	尊敬的187*****605,您于2015-10-20 20:33:56使用手机18721656605注册了小马金融账号」
1722	尊敬的187*****578,您于2015-10-15 19:19:10使用手机18734712578注册了小马金融账号」
1743	尊敬的187*****508,您于2015-10-16 09:12:47使用手机18781961508注册了小马金融账号」
2112	尊敬的187*****503,您于2015-10-16 14:57:37使用手机18785527503注册了小马金融账号」
2419	尊敬的187*****300,您于2015-10-17 03:27:52使用手机18776223300注册了小马金融账号」
3944	尊敬的187*****172,您于2015-10-20 20:47:04使用手机18733111172注册了小马金融账号」
2114	尊敬的187*****171,您于2015-10-16 15:02:01使用手机18738016171注册了小马金融账号」
3545	尊敬的187*****121,您于2015-10-20 12:10:24使用手机18710067121注册了小马金融账号」
3928	尊敬的187*****007,您于2015-10-20 20:16:58使用手机18751198007注册了小马金融账号」
3568	尊敬的186*****865,您于2015-10-20 15:12:30使用手机18621661865注册了小马金融账号」
2816	尊敬的186*****858,您于2015-10-19 12:57:41使用手机18611168858注册了小马金融账号


当然还有其他投资信息

漏洞证明:

如上

修复方案:

加强鉴权

版权声明:转载请注明来源 Zhe@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-11-20 12:50

厂商回复:

已经修复

最新状态:

暂无