漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某应用虚拟化系统任意系统文件读取(无需登录83案例)
提交时间:2015-06-24 15:05
修复时间:2015-09-26 07:34
公开时间:2015-09-26 07:34
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-28: 厂商已经确认,细节仅向厂商公开
2015-07-01: 细节向第三方安全合作伙伴开放
2015-08-22: 细节向核心白帽子及相关领域专家公开
2015-09-01: 细节向普通白帽子公开
2015-09-11: 细节向实习白帽子公开
2015-09-26: 细节向公众公开
简要描述:
&通用型敏感信息泄漏
案例中发现四家公司都做是这套系统。
详细说明:
陕西中海知易信息科技有限公司(1案例)
新中航银商科技(北京)有限公司(1案例)
北京科希盟软件有限公司(1案例)
西安新软信息科技有限公司(80案例)
案例中,发现登录页面显示以上四家公司都是做这套系统。
无需登录下任意系统文件遍历,其中西安新软信息科技有限公司的“极通EWEBS应用虚拟化系统”全版本都受影响。
敏感信息泄漏:
漏洞证明:
案例:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-06-28 07:34
厂商回复:
最新状态:
暂无