当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0183403

漏洞标题:互联网电视服务商重要系统未授权访问涉及大量敏感信息

相关厂商:天脉聚源(北京)传媒科技有限公司

漏洞作者: 几何黑店

提交时间:2016-03-11 17:37

修复时间:2016-04-25 17:37

公开时间:2016-04-25 17:37

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

互联网电视服务商重要系统未授权访问涉及大量敏感信息

详细说明:

http://sysadmin.v3.tvmining.com/tsysadmin


未授权访问,可直接查看配置文件信息

QQ图片20160311160323.png


QQ图片20160311160115.png


QQ图片20160311160813.png


4.0新版后台

http://cloudcenter.tvmining.com/tmcloudcenter/


利用我们刚才获取的数据库密码去尝试登陆
admin/tvmining@123

QQ图片20160311160920.png


QQ图片20160311160954.png


QQ图片20160311161024.png


QQ图片20160311161121.png


QQ图片20160311161150.png


QQ图片20160311161336.png


大部分密码都是tvmining@123或者tvm@123

漏洞证明:

从这个地址里发现个链接,打开看看

https://dev.tvmining.com/wiki/index.php?title=DSP-Aliyun-CentOS6


QQ图片20160311161745.png


QQ图片20160311161820.png


我们来访问看看

http://cloudcenter.tvmining.com/tmpkgbuilder/


QQ图片20160311161940.png


QQ图片20160311161951.png


QQ图片20160311162127.png


不光可以下载源码还可以上传文件

修复方案:

你懂的

版权声明:转载请注明来源 几何黑店@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)