139邮箱可查看上任用户所有往来邮件 | wooyun-2013-038515| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038515

漏洞标题：139邮箱可查看上任用户所有往来邮件

漏洞作者：丢小丢

提交时间：2013-09-29 10:15

修复时间：2013-09-29 14:17

公开时间：2013-09-29 14:17

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：2

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-09-29：细节已通知厂商并且等待厂商处理中
2013-09-29：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

今天无意中发现的，139邮箱会泄漏手机号码上任机主的邮件

详细说明：

简单说就是：
139邮箱，在手机号码被收回，转给下一个新客户时，没有清空邮箱里的邮件。
于是下一个客户，可以在邮箱里看到上一个客户的所有往来邮件，
虽然很小的漏洞，但是隐患还是有的

漏洞证明：

我是7月底办理的新号，账单中心里居然有4月份的账单。于是我点开看看

额。。名字那里不是我本人。
再看看收件箱

连去年9月份的邮件都还留着。。。

修复方案：

1、手机号码回收后，应该及时清空139邮箱里的邮件。
2、或者对邮件设置期限，一定时间后自动删除、。

版权声明：转载请注明来源丢小丢@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-09-29 14:17

厂商回复：

对于中国移动来讲，要修复该风险需要对号码存活状态与用户操作进行一个关联，修复代价需要重新评估。由于需要强用户认证前提（若攻击可以认为只能实名攻击），无法大规模利用，暂行先公开，由中国移动自行评估是否进行修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038515

漏洞标题：139邮箱可查看上任用户所有往来邮件

相关厂商：139邮箱

漏洞作者：丢小丢

提交时间：2013-09-29 10:15

修复时间：2013-09-29 14:17

公开时间：2013-09-29 14:17

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：2

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源丢小丢@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038515

漏洞标题：139邮箱可查看上任用户所有往来邮件

相关厂商：139邮箱

漏洞作者： 丢小丢

提交时间：2013-09-29 10:15

修复时间：2013-09-29 14:17

公开时间：2013-09-29 14:17

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：2

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-038515"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 丢小丢@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：丢小丢

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源丢小丢@乌云