当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082701

漏洞标题:百度敏感信息泄露(开发代码、流程规划、内网大量密码等)

相关厂商:百度

漏洞作者: 鸟云厂商

提交时间:2014-11-09 21:17

修复时间:2014-12-24 21:18

公开时间:2014-12-24 21:18

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-09: 细节已通知厂商并且等待厂商处理中
2014-11-10: 厂商已经确认,细节仅向厂商公开
2014-11-20: 细节向核心白帽子及相关领域专家公开
2014-11-30: 细节向普通白帽子公开
2014-12-10: 细节向实习白帽子公开
2014-12-24: 细节向公众公开

简要描述:

百度敏感信息泄露(开发代码、流程规划、内网大量密码等),还能查看内网扫描器扫描出的漏洞。

详细说明:

百度邮箱用户名liyubei
密码zhen***@^@262
成功登陆
大量敏感信息

------------------------------------------------------------------------------
liyubei 您好,您的门神系统帐号已经重置
用户名: liyubei
密码: K*****ZO
******************************************************************************
登录后,请尽快修改个人密码,更改方法如下:
输入 kpasswd "你的名字", 提示输入当前密码(老密码),输入正确后,再输入两边新的密码就可以更改了.
密码需要至少含有两种不同字符,长度需要超过8位
----------------------------------------------------


目前ADRC主库存在以下空密码账户:
+----------+--------------+----------+
| user | host | password |
+----------+--------------+----------+
| adrcdb_w | 1***22 | |
| adrcdb_w | 10.***8.23 | |
| adrcdb_w | 10.***4.19 | |
+----------+--------------+----------+


验收环境:
企业之窗:
先登录:http://ca*******:8477/?tpl=www2
账号:s*******1
密码:*******23
跳转链接:http://g*******88/guanba/index.html?aderId=619463

软贴
http://g*******8/tieba/tieba/index.html?aderId=1790920#/jn/tieba/activity_wizard~id=13044491
账号:b*******0755(广告主账号)
密码:12*******56
账号:a*******on(管理员账号)
密码:A*******3

官方吧
http://g*****88/tieba/sysdashboard/index.html#/jn/sysdashboard/site/activity_list
测试账号同软贴


漏洞证明:

1.jpg


2.jpg


3.jpg

修复方案:

略感讽刺。。。

4.jpg

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-11-10 10:31

厂商回复:

感谢提交,已通知处理

最新状态:

暂无