当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152145

漏洞标题:汉子科技账户体系控制不严内部信息泄露

相关厂商:汉子科技

漏洞作者: 路人甲

提交时间:2015-11-08 19:14

修复时间:2015-12-23 19:16

公开时间:2015-12-23 19:16

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

RT

漏洞证明:

$mail->IsSMTP();
            $mail->CharSet='UTF-8'; //设置邮件的字符编码,这很重要,不然中文乱码
            $mail->SMTPAuth = true; //开启认证
            $mail->Port = 465;
            //$mail->SMTPDebug=true;
            $mail->Host = "smtp.exmail.qq.com";
            $mail->Username = "[email protected]";
            $mail->Password = "linfeng03";
            //$mail->IsSendmail(); //如果没有sendmail组件就注释掉,否则出现“Could not execute: /var/qmail/bin/sendmail ”的错误提示
            $mail->AddReplyTo("[email protected]","淘学网");//回复地址
            $mail->From = "[email protected]";
            $mail->FromName = "淘学网";
            //$to = "[email protected]";


URL:https://github.com/Ethennoob/hanzilend1/blob/f2bcda886d42af681e556ca2149344b220d8aba4/System/AppTools.class.php

hanzi1.png


意外看到这2封邮件

hanzi2.png


但是里面却是发的联通漏洞的详情...有点蛋疼..

修复方案:

修改密码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝