storm集群可外网访问和任意kill job | wooyun-2014-071247| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071247

漏洞标题：storm集群可外网访问和任意kill job

漏洞作者： AlanJin

提交时间：2014-08-06 14:29

修复时间：2014-09-20 14:30

公开时间：2014-09-20 14:30

漏洞类型：网络未授权访问

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-09-20：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

kmsocial.cn的storm集群外网可以访问，通过谷歌搜索引擎可以搜到该集群的storm ui页面，进入该页面以后可以对所有在线的job（storm中称为topology）进行kill/rebalance/deactive等操作，可以对集群资源进行重新分配，如为某个job增减进程

详细说明：

storm的ui（管理storm的web页面）部署到了公网地址上，http://221.123.169.66:8080/
可以通过谷歌关键字搜到。进入后可以执行任务操作。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071247

漏洞标题：storm集群可外网访问和任意kill job

相关厂商：kmsocial.cn

漏洞作者： AlanJin

提交时间：2014-08-06 14:29

修复时间：2014-09-20 14:30

公开时间：2014-09-20 14:30

漏洞类型：网络未授权访问

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AlanJin@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071247

漏洞标题：storm集群可外网访问和任意kill job

相关厂商：kmsocial.cn

漏洞作者： AlanJin

提交时间：2014-08-06 14:29

修复时间：2014-09-20 14:30

公开时间：2014-09-20 14:30

漏洞类型：网络未授权访问

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-071247"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AlanJin@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：