漏洞概要

缺陷編號(hào)： WooYun-2013-24136

漏洞標(biāo)題： 淘寶網(wǎng)Minebdb系統(tǒng)未做權(quán)限認(rèn)證

相關(guān)廠商： 淘寶網(wǎng)

漏洞作者： 賤心

提交時(shí)間： 2013-05-20 11:19

公開(kāi)時(shí)間： 2013-07-04 11:19

漏洞類(lèi)型： 系統(tǒng)/服務(wù)運(yùn)維配置不當(dāng)

危害等級(jí)： 高

自評(píng)Rank： 15

漏洞狀態(tài)： 廠商已經(jīng)確認(rèn)

漏洞來(lái)源： http://www.wooyun.org

Tags標(biāo)簽： 設(shè)計(jì)不當(dāng) 認(rèn)證設(shè)計(jì)不合理

漏洞詳情

披露狀態(tài)：

2013-05-20： 細(xì)節(jié)已通知廠商并且等待廠商處理中

2013-05-20： 廠商已經(jīng)確認(rèn)，細(xì)節(jié)僅向廠商公開(kāi)

2013-05-30： 細(xì)節(jié)向核心白帽子及相關(guān)領(lǐng)域?qū)＜夜_(kāi)

2013-06-09： 細(xì)節(jié)向普通白帽子公開(kāi)

2013-06-19： 細(xì)節(jié)向?qū)嵙?xí)白帽子公開(kāi)

2013-07-04： 細(xì)節(jié)向公眾公開(kāi)

簡(jiǎn)要描述：

淘寶網(wǎng)Minebdb系統(tǒng)未做權(quán)限認(rèn)證 可以控制數(shù)據(jù)庫(kù)上線下線

詳細(xì)說(shuō)明：

URL：http://110.75.66.47/

漏洞證明：

這里貌似是很危險(xiǎn)的：

由于無(wú)法驗(yàn)證這些數(shù)據(jù)庫(kù)具體是干嘛的 不好判斷危害 但肯定是跟淘寶網(wǎng)站有關(guān)

修復(fù)方案：

加認(rèn)證+vpn

漏洞回應(yīng)

廠商回應(yīng)：

危害等級(jí)：高

漏洞Rank：12

確認(rèn)時(shí)間：2013-05-20 11:43

廠商回復(fù)：

非常感謝您對(duì)我們的支持與關(guān)注，該問(wèn)題我們會(huì)盡快修復(fù)，稍后會(huì)送上禮品，請(qǐng)將地址私信我們~

最新?tīng)顟B(tài)：

暫無(wú)