漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025205
漏洞标题:中粮我买网某系统未授权访问
相关厂商:中粮我买网
漏洞作者: 刺刺
提交时间:2013-06-05 17:32
修复时间:2013-07-20 17:33
公开时间:2013-07-20 17:33
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-05: 细节已通知厂商并且等待厂商处理中
2013-06-06: 厂商已经确认,细节仅向厂商公开
2013-06-16: 细节向核心白帽子及相关领域专家公开
2013-06-26: 细节向普通白帽子公开
2013-07-06: 细节向实习白帽子公开
2013-07-20: 细节向公众公开
简要描述:
中粮我买网某业务系统未授权访问;
(Jaffeux,实在是很对不起,让我发现可能还是运气比较好一点,sorry!)
详细说明:
我买网MSP管理系统,这个系统是干什么,我真不知道;
http://oms.womaiapp.com/
1. 首先是目录遍历;
2. 其次是遍历的文件权限未进行限制;
漏洞证明:
目录遍历:
越权访问:
破解其中的md5密码;登录之;
具体功能和内容,我就不研究了。截图以后,马上就退出了。
我是清白的哟!~
修复方案:
1. 关闭目录遍历;
2. 对关键功能增加用户权限或者类似的权限验证;
版权声明:转载请注明来源 刺刺@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2013-06-06 22:07
厂商回复:
呃。。。好吧。。。完败了。。
最新状态:
暂无