漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0111649
漏洞标题:中国互联网络信息中心内部邮箱账号泄露
相关厂商:中国互联网络信息中心
漏洞作者: miyachiki
提交时间:2015-05-03 08:16
修复时间:2015-06-21 08:46
公开时间:2015-06-21 08:46
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-03: 细节已通知厂商并且等待厂商处理中
2015-05-07: 厂商已经确认,细节仅向厂商公开
2015-05-17: 细节向核心白帽子及相关领域专家公开
2015-05-27: 细节向普通白帽子公开
2015-06-06: 细节向实习白帽子公开
2015-06-21: 细节向公众公开
简要描述:
在GITHUB论坛上查看源代码,包含有个人账号信息,核实为中国互联网络信息中心内部邮箱账号泄露,通过此账号可以登录邮箱。
详细说明:
登陆成功
邮箱里有很多内部资料
泄露了各种内部系统账号密码,大部分都是内网系统
合作伙伴门户可外网登陆,该系统为提供给注册服务机构进行自服务的系统
晕…系统管理员账号
域名管理?难道可以控制所有cn域名?(虽然没有权限,但这个账号有管理员权限,可重置任意注册商账号密码…你懂的:))
可下载内部资料
还可以查询所有账号信息等!
还泄露了很多内部信息,但太多了,没时间搞
漏洞证明:
修复方案:
呵呵
版权声明:转载请注明来源 miyachiki@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-05-07 08:45
厂商回复:
CNVD确认所述情况,已经转由CNCERT向中国互联网络信息中心(CNNIC)通报.CNNIC反映迅速,参考所述风险点对邮箱以及相关系统的用户管理和配置进行变更.
根据CNNIC反馈的情况(包括对系统核查情况),CNVD向WOOYUN提出对白帽子部分描述的情况变更,以贴近实际情况.
同时向白帽子表示感谢.近年来,github已经成为社工的重要来源之一,存在的风险不少.
最新状态:
暂无