当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090756

漏洞标题:智联卓聘某处越权

相关厂商:智联招聘

漏洞作者: BMa

提交时间:2015-01-09 11:42

修复时间:2015-02-23 11:44

公开时间:2015-02-23 11:44

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-09: 细节已通知厂商并且等待厂商处理中
2015-01-12: 厂商已经确认,细节仅向厂商公开
2015-01-22: 细节向核心白帽子及相关领域专家公开
2015-02-01: 细节向普通白帽子公开
2015-02-11: 细节向实习白帽子公开
2015-02-23: 细节向公众公开

简要描述:

智联卓聘某处越权
今天收到智联招聘的高端人才消息,顺便看看 - - !

详细说明:

站点:www.highpin.cn
这里的问题是越权查看其他消息,既然是高端人才招聘,反正我是不希望我问的某些问题被别人知道。当然你可以说就是一些简单的咨询,说不定某个问题里面就有用户的敏感信息哟!
可以看到我这个账号只有一条消息

1.jpg


看看可以看的一共有多少条消息

2.jpg


查看详细内容:

3.jpg


http://c.highpin.cn/Message/MessageDetail/13371

4.jpg


http://c.highpin.cn/Message/MessageDetail/09227

5.jpg


漏洞证明:

修复方案:

版权声明:转载请注明来源 BMa@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-01-12 15:16

厂商回复:

感谢你对智联招聘的关注,问题已经转给对应团队进行处理。

最新状态:

暂无