当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03771

漏洞标题:多玩YY漏洞,可在YY语音平台产生多VP(突破三个)多OW(突破只能有1个)

相关厂商:广州多玩

漏洞作者: bywuxin

提交时间:2011-12-25 03:10

修复时间:2012-02-08 03:10

公开时间:2012-02-08 03:10

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-12-25: 细节已通知厂商并且等待厂商处理中
2011-12-26: 厂商已经确认,细节仅向厂商公开
2012-01-05: 细节向核心白帽子及相关领域专家公开
2012-01-15: 细节向普通白帽子公开
2012-01-25: 细节向实习白帽子公开
2012-02-08: 细节向公众公开

简要描述:

因为多玩YY语音平台公会后台设计、设置和服务器设置导致可同步提交产生多VP(副会)和多OW(会长),产生YY语音公会混乱。

详细说明:

因为多玩YY语音平台公会网页后台设计、设置和服务器设置导致可同步提交产生多VP(副会)和多OW(会长)。其实已经和他们说过,但他们还是未能处理得当,我们还是可以利用此漏洞卡出多VP和OW。方法:两人或者多人同时用OW号登陆后台同时在后台提交6个(每人选择不同的3个)成员为VP即可突破只能设置3个VP。突破OW原理相同,两人或者多人同时申请一个频道时(利用自主选号选择一个频道ID),同时提交数据即可,申请完成两人都是那个频道的OW,权限相同。【刚刚在精易论坛看见有人卖这个漏洞,拿走我的图做骗子,本人郑重申明从未出售过此漏洞!卖的都是骗子!】

漏洞证明:




发的截图不是最近的,是当时我们小组测试的截图,如果需要看漏洞可以联系我QQ29187586来某些我们卡好的频道看,至今漏洞依然存在。

修复方案:

改写后台Java代码,后台VP管理员和OW管理员列表限制数量。

版权声明:转载请注明来源 bywuxin@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2011-12-26 14:21

厂商回复:

谢谢提供,在处理中。

最新状态:

暂无