WooYun: 淘寶網Minebdb系統未做權限認證
作者:佚名
5月20日,一位名為“賤心”的漏洞作者向烏云漏洞平臺提交了淘寶網Minebdb系統未做權限認證的漏洞。該漏洞可以控制數據庫上線下線,雖然不好判斷該漏洞危害具體有多大,但肯定是跟淘寶網站有關。作者和廠商均認為該漏洞危險等級為高。
漏洞概要
缺陷編號: WooYun-2013-24136
漏洞標題: 淘寶網Minebdb系統未做權限認證
相關廠商: 淘寶網
漏洞作者: 賤心
提交時間: 2013-05-20 11:19
公開時間: 2013-07-04 11:19
漏洞類型: 系統/服務運維配置不當
危害等級: 高
自評Rank: 15
漏洞狀態: 廠商已經確認
漏洞來源: http://www.wooyun.org
Tags標簽: 設計不當 認證設計不合理
漏洞詳情
披露狀態:
2013-05-20: 細節已通知廠商并且等待廠商處理中
2013-05-20: 廠商已經確認,細節僅向廠商公開
2013-05-30: 細節向核心白帽子及相關領域專家公開
2013-06-09: 細節向普通白帽子公開
2013-06-19: 細節向實習白帽子公開
2013-07-04: 細節向公眾公開
簡要描述:
淘寶網Minebdb系統未做權限認證 可以控制數據庫上線下線
詳細說明:
URL:http://110.75.66.47/
漏洞證明:
這里貌似是很危險的:
由于無法驗證這些數據庫具體是干嘛的 不好判斷危害 但肯定是跟淘寶網站有關
修復方案:
加認證+vpn
漏洞回應
廠商回應:
危害等級:高
漏洞Rank:12
確認時間:2013-05-20 11:43
廠商回復:
非常感謝您對我們的支持與關注,該問題我們會盡快修復,稍后會送上禮品,請將地址私信我們~
最新狀態:
暫無
責任編輯:林琳
來源:
烏云漏洞平臺
