会唐网内部信息泄露 | wooyun-2015-0152160| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0152160

漏洞标题：会唐网内部信息泄露

漏洞作者：路人甲

提交时间：2015-11-05 22:05

修复时间：2015-12-20 22:06

公开时间：2015-12-20 22:06

漏洞类型：敏感信息泄露

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-05：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-12-20：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

漏洞证明：

$mail = new Util_PhpMailer();
            $mail->IsSMTP(); // telling the class to use SMTP
            $mail->SMTPDebug = 0;
            $mail->CharSet = 'utf-8';
            $mail->Host = "smtp.exmail.qq.com";
            $mail->SMTPAuth = true;
            $mail->Port = 25;
            $mail->Username = "[email protected]";
            $mail->Password = "eventown1";
            $mail->SetFrom('[email protected]', '会通短信通知');
            $mail->AddAddress($email);
            $mail->Subject = $title;
            $mail->MsgHTML($content);

https://github.com/jiayaoaaa/Scene-Editor-for-mobile/blob/66d5d699ea1d3648b84134531d6cab35d128ff50/library/class/Util/.svn/text-base/Email.php.svn-base

修复方案：

修改密码

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：8 (WooYun评价)