当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034836

漏洞标题:newetone主站和管理系统存高危安全漏洞导致泄露大量订单与银行卡敏感信息(密码明文存储)

相关厂商:newetone

漏洞作者: 一只猿

提交时间:2013-08-20 22:00

修复时间:2013-10-04 22:01

公开时间:2013-10-04 22:01

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国际长途随便打,各种电话卡各种VIP有木有

详细说明:

AD:NewEtone国际长途电话卡可以从全球各地拨打电话,并且话费低廉、语音质量好。
主站和管理系统均存在struts漏洞,配置文件泄露多个数据库配置等大量敏感信息。用户信息和电话卡信息还有各种交易信息等等诸多信息大量侧漏。用户密码明文存储。

漏洞证明:

主站地址:http://www.newetone.com/
后台地址:http://www.newetone.com:8080/
均存在struts漏洞
网站首页截图

TM截图20130820134642.jpg

主站有过滤,shell直接废了

TM截图20130820194204.jpg

管理后台未过滤,马儿活着,配置文件截图,大量敏感信息侧漏

TM截图20130820120616.jpg

TM截图20130820120649.jpg

TM截图20130820120705.jpg

一个账号导致多个数据库侧漏

TM截图20130820123246.jpg

用户密码直接明文

TM截图20130820121315.jpg

大量订单信息侧漏

TM截图20130820200217.jpg

然后某些卡的信息

TM截图20130820202444.jpg

验证下,成功

TM截图20130820203614.jpg

只进了一个库瞅了几眼,其他的库没进去看,目测数据量不小。裤子什么的没动,厂商尽快修复吧,不然,各种vip。。。。。呵呵。。。。
最后弱弱的问一句:咱能不用明文么???要不要给发个VIP啥的

修复方案:

弃用struts

版权声明:转载请注明来源 一只猿@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝