美的电子邮件系统HeartBleed(已登录多个账户)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0196279

漏洞标题：美的电子邮件系统HeartBleed(已登录多个账户)

漏洞作者：路人甲

提交时间：2016-04-14 17:01

修复时间：2016-05-29 17:40

公开时间：2016-05-29 17:40

漏洞类型：系统/服务补丁不及时

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-14：细节已通知厂商并且等待厂商处理中
2016-04-14：厂商已经确认，细节仅向厂商公开
2016-04-24：细节向核心白帽子及相关领域专家公开
2016-05-04：细节向普通白帽子公开
2016-05-14：细节向实习白帽子公开
2016-05-29：细节向公众公开

简要描述：

虽然是老漏洞，但是修复不及时。

详细说明：

网址：

https://mail.midea.com/

IP:

175.25.168.214

读出的内存数据就不完全贴出来了。放一个带cookie的你们可以验证：

 /coremail/common/preview/reserve.jsp?mid=2%3a1tbiAgQFLVYilUwPWAAAmU&mboxa=&part=5&rnd=0.48334205737183555 HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-CN
Referer: https://mail.midea.com/coremail/common/preview/preview.jsp?mid=2%3a1tbiAgQFLVYilUwPWAAAmU&mboxa=&part=5
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB7.5; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: mail.midea.com
Content-Length: 0
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: __utma=60784945.1892627144.1420851759.1421459139.1421629007.7; pgv_pvi=4514553856; mip_lang=zh; midea_sso_token=L1Ca2taCa0e83zPbaE1BOWKko4c7%2FDBWE4Om%2Bv5iCopmTx6RVfgcRw%3D%3D; OAM_ID=VERSION_4~bAPWFWYfEcLNr/1ltCc0Zw==~l18gcCDTFRqgbSevZyp8jNtZWPBU6xEz2D3Lr+ffCjNzbUf1ehpZt/DwcRWASsCWhTv0n2maz/poHpeE9gFT2t/IfG4xdsfDMaBhXpjUxbRfCjVG0RvLuzwLc1g1IZARIKsSQzxUJdOMIRRTvq75y2j0n7j4M/+2qY+ckcoLMEXQ6iBWD7dxueDdQBwV0dehmaGx1laiL55vxviOmtJp6g226IEwoaz6ZMrLTgYuJFL0vs2J7UyoPDZIRywqHvfFBxGGTP5fg5x0cHMgmamHaw==; uid=liujing10; locale=zh_CN; CoremailReferer=https%3A%2F%2Fmail.midea.com%2F; Coremail=47d6d9b556efd5331178b4e879e18a36; Coremail.sid=BApcXNttZNXgeLRbhwttzkVIFktBnLjw

漏洞证明：

修复方案：

多监听两天，应该可以获取大量内部信息，暂时不深入了。赶紧修复吧。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-14 17:33

厂商回复：

路人甲不要匿名了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0196279

漏洞标题：美的电子邮件系统HeartBleed(已登录多个账户)

相关厂商：midea.com

漏洞作者：路人甲

提交时间：2016-04-14 17:01

修复时间：2016-05-29 17:40

公开时间：2016-05-29 17:40

漏洞类型：系统/服务补丁不及时

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0196279

漏洞标题：美的电子邮件系统HeartBleed(已登录多个账户)

相关厂商：midea.com

漏洞作者： 路人甲

提交时间：2016-04-14 17:01

修复时间：2016-05-29 17:40

公开时间：2016-05-29 17:40

漏洞类型：系统/服务补丁不及时

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0196279"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云