1号家居网某系统漏洞（泄露几万设计师个人信息/设计方案操控/地区楼盘处理）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0139279

漏洞标题：1号家居网某系统漏洞（泄露几万设计师个人信息/设计方案操控/地区楼盘处理）

漏洞作者：路人甲

提交时间：2015-09-06 13:52

修复时间：2015-10-21 13:54

公开时间：2015-10-21 13:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-10-21：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

一号家居网，十年专业家装，中国在线家装领导者。领先的以城市地域为核心的集家装、设计、建材、家居等一系列产品和服务的O2O网络平台，在全国共开设有5个大型展厅，35个体验馆，覆盖全国23个主要城市，真正让大众体验到了家装电子商务的便捷和有效，是中国在线家装行业极具影响力的电子商务平台。

详细说明：

厉害的不行，光青岛就有三家线下体验店，集家居和装修设计为一体化。
http://sjs.yihaojiaju.com/audit/statistics.aspx 设计师网站未授权访问
遍历了下，发现了近十万的设计师信息，主要是分类很明确，按地方来的，还有每个人的设计方案，还可以操作一些前台推荐置顶之类的东西

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0139279

漏洞标题：1号家居网某系统漏洞（泄露几万设计师个人信息/设计方案操控/地区楼盘处理）

相关厂商：1号家居网

漏洞作者：路人甲

提交时间：2015-09-06 13:52

修复时间：2015-10-21 13:54

公开时间：2015-10-21 13:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0139279

漏洞标题：1号家居网某系统漏洞（泄露几万设计师个人信息/设计方案操控/地区楼盘处理）

相关厂商：1号家居网

漏洞作者： 路人甲

提交时间：2015-09-06 13:52

修复时间：2015-10-21 13:54

公开时间：2015-10-21 13:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0139279"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云