当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090880

漏洞标题:胶东在线内部敏感信息泄露(涉及第三方接口账号等)

相关厂商:胶东在线

漏洞作者: 路人甲

提交时间:2015-01-12 15:08

修复时间:2015-02-26 15:10

公开时间:2015-02-26 15:10

漏洞类型:内容安全

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

胶东在线网站开通于2002年4月28日,是由烟台市委宣传部、市文广新局主管,烟台广播电视台主办,经国务院新闻办公室批准的重点新闻网站,是烟台市对内、对外宣传的重要窗口。网站在国内200余家重点新闻网站中综合排名最高15位,已跨入国内知名网站行列。2011年网站被纳入全国第二批转企改制重点网站,2013年被列为全国第六批可供网站转载新闻的新闻单位名单,均为全国唯一获批的地级市网站。网站搭建的《网上民声》《爱心无限》《网上问法》《考试》《快乐健身》先后五次获得中国互联网最高奖——中国互联网站品牌栏目,被国内誉为“胶东在线现象”,山东省网信办专门出版了《胶东在线现象》一书在全省推广。其中,网站在全国首创的《网上民声》2009年荣获第19届中国新闻奖名专栏一等奖,《接力寻美 温暖中国》专题2012年荣获第22届中国新闻奖一等奖(网站总编辑邓兆安)作为中国新闻奖有史以来首位网络媒体代表在颁奖大会上发言),成为国内唯一一家两次获得新闻最高奖的地级市网站。网站还先后荣获“中国十大新闻网站品牌奖”、“城市网盟十年特殊贡献奖”、“2004—2014年中国地方网络媒体持续成长网站”、“山东省优秀网站”、“山东省网络文化建设先进单位”、“山东省文明网站”等荣誉。网站总编辑邓兆安荣获第13届长江韬奋奖,为中国互联网媒体第二位、烟台新闻史上首位摘得这一荣誉的优秀代表。

详细说明:

https://github.com/naiyi/JiaodongOnlineNews/blob/master/JiaodongOnlineNews/Classes/JDOAppDelegate.m
里面有各种第三方接口的帐号,试着用里面的帐号密码,登陆人人和友盟,登陆成功.

漏洞证明:

https://github.com/naiyi/JiaodongOnlineNews/blob/master/JiaodongOnlineNews/Classes/JDOAppDelegate.m
里面有各种第三方接口的帐号,试着用里面的帐号密码,登陆人人和友盟,登陆成功.

x.png


可以影响一些app应用,并且个人帐号中会泄露员工信息

y.png


员工个人信息泄露
还有一些其它的平台,未一一尝试.

修复方案:

厂商会来?

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝