漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-014028
漏洞标题:网易邮箱关联漏洞可进入未知用户邮箱
相关厂商:网易
漏洞作者: 伪英雄
提交时间:2012-10-29 19:17
修复时间:2012-10-31 12:04
公开时间:2012-10-31 12:04
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-29: 细节已通知厂商并且等待厂商处理中
2012-10-31: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
网易邮箱关联漏洞,可以进入未知用户的邮箱
详细说明:
今天用自己的邮箱关联了班级的公共邮箱,然后就发现自动关联了我们班另外一个同学的邮箱,可以进入他的邮箱进行所有操作。向他求证之后发现,他之前用自己的邮箱与班级的公共邮箱也进行了关联。当我取消了对同学的邮箱和班级公共邮箱的关联之后,再次关联班级公共邮箱则不再自动关联同学的邮箱。
漏洞证明:
1.用户weilihero与weilihero1的邮箱进行关联:
2.用户weilihero2与weilihero1的邮箱也进行关联:
3.用户weilihero2发现与weilihero的邮箱自动进行了关联:
4.用户weilihero2可以进入weilihero的邮箱进行操作:
5.用户weilihero2取消了对weilihero和weilihero1的关联之后再重新关联weilihero1,则不会出现自动关联weilihero的情况:
修复方案:
建议在功能设计上进行相应的修复
版权声明:转载请注明来源 伪英雄@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-10-31 12:04
厂商回复:
感谢您对网易的关注,该问题并不是安全漏洞。
最新状态:
暂无