当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092871

漏洞标题:UCweb某pypi镜像泄漏数据库配置信息

相关厂商:UC Mobile

漏洞作者: lijiejie

提交时间:2015-01-20 13:52

修复时间:2015-03-06 13:54

公开时间:2015-03-06 13:54

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-20: 细节已通知厂商并且等待厂商处理中
2015-01-20: 厂商已经确认,细节仅向厂商公开
2015-01-30: 细节向核心白帽子及相关领域专家公开
2015-02-09: 细节向普通白帽子公开
2015-02-19: 细节向实习白帽子公开
2015-03-06: 细节向公众公开

简要描述:

UCweb某pypi镜像泄漏数据库配置信息

详细说明:

Pypi位于: http://117.135.151.12:7007/

ucweb_pypi.png


观察到出现internal,可能有内部敏感信息。

漏洞证明:

http://117.135.151.12:7007/root/internal/+f/5de/3c1f42f3fe062/dpkit-1.1.0.tar.gz#md5=5de3c1f42f3fe0624e8a3c40a1c89770

mysql -hcnode436 -ugames_portal -P3307 -piXZxbcEwBtXsurFyoDtm -D games_portal


http://117.135.151.12:7007/jerry/dev/+f/119/6de66a08197c1/ahcm-1.tar.gz#md5=1196de66a08197c1f976292cfab2bc8b

dbs = {
    'mysql-sbs': {
        'host': '10.20.104.126',
        'port': 3305,
        'charset': 'utf8',
        'user': 'ucgc_stat',
        'pass': 'eiNGLEDsmOnsName',
        'schema': 'ucgc_stat'
    },
    'mysql': {
        'host': '127.0.0.1',
        'port': 53306,
        'charset': 'utf8',
        'user': 'stat',
        'pass': 'stat',
        'schema': 'moreports'
    }
}


类似的db配置信息还有,出现在文件dbutil.py中。

修复方案:

删除敏感信息

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-20 17:58

厂商回复:

漏洞存在,已转给相关人员处理,非常感谢!

最新状态:

暂无