当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153054

漏洞标题:爱谱互娱账户体系控制不严导致内部邮箱及数据库信息泄露

相关厂商:爱谱互娱科技有限公司

漏洞作者: 蒙塔基钢蛋

提交时间:2015-11-09 16:59

修复时间:2015-12-24 17:00

公开时间:2015-12-24 17:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

厂商简介
深圳市爱谱互娱科技有限公司是美国AppsRica旗下全资中国公司,成立于2015年, 是一家专注于游戏研发、全球代理发行、IP经营及游戏创业孵化的互联网游戏公司, 致力于为用户提供优质的创新文化娱乐产品和服务。
在美国、欧洲、日本、韩国等多个国家设有合作公司,在北美拥有多家分部。 已覆盖国内外主流发行渠道(包括线上应用商店、移动运营商、手机硬件生产商等), 具备优秀的游戏开拓研发、运营及发行能力。

详细说明:

将源码放在git上。。。就在几天前。。。。

https://github.com/xvwenlin/aipugame


https://github.com/xvwenlin/aipugame/blob/5d5bbaa49945b2581aaf02d8808930a648c5f6b4/aipu_dc/environments/prod/common/config/main-local.php
'db' => [
            'class' => 'yii\db\Connection',
            'dsn' => 'mysql:host=10.66.130.240;dbname=aipu_dc',
            'username' => 'appsrica',
            'password' => 'appsrica@2015',
            'charset' => 'utf8',
        ],
        'mailer' => [
            'class' => 'yii\swiftmailer\Mailer',
            'viewPath' => '@common/mail',
            'transport' => [
                'class' => 'Swift_SmtpTransport',
                'host' => 'smtp.exmail.qq.com',
                'username' => '[email protected]',
                'password' => '@aipuhuyu123',
                'port' => '25',
                'encryption' => 'tls',
            ],
        ],

漏洞证明:

邮箱登陆成功!公司组织架构及员工信息

QQ20151109-16@2x.png


QQ20151109-17@2x.png

修复方案:

版权声明:转载请注明来源 蒙塔基钢蛋@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝