漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0152799
漏洞标题:960社区网安全意思不当导致敏感信息泄露(数据库配置)
相关厂商:960社区网
漏洞作者: Joshua
提交时间:2015-11-10 14:16
修复时间:2015-12-25 14:16
公开时间:2015-12-25 14:16
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
无聊看看有什么新的开源项目,无疑在百度看到Taocode的开源项目,我看了一下有人上传了Thinkcmf的项目,最近也在玩Thinkcmf,我是小菜,求大鸟带我飞。
那么大力出奇迹了,呵呵。我看了一下配置文件。结果果然。
然后呢,我登陆看看。果然是真的,这就是个机遇啊。
这都能泄露了,能干些什么都知道了吧,其实根据这个还能查一些其他的,你懂的。
那么接下来干嘛呢,好吧,我就来这个提交了。
漏洞证明:
泄露开源项目地址:http://code.taobao.org/p/my-village-thinkcmf/src/data/conf/db.php
'DB_TYPE' => 'mysql',
'DB_HOST' => '203.88.175.162',
'DB_NAME' => 'xq.960sq.com',
'DB_USER' => '960admin',
'DB_PWD' => '960admin4488',
'DB_PORT' => '3306',
'DB_PREFIX' => 'sp_',
数据库登陆地址:http://203.88.175.162/phpmyadmin
修复方案:
删除Taocode开源项目,或者更改项目里的Conf配置文件,建议更改数据的密码。
版权声明:转载请注明来源 Joshua@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝