魅族维修系统越权访问导致维修信息遍历

admin
admin
admin
144122
文章
118
评论
2015年6月30日03:24:44评论385 views字数 217阅读0分43秒阅读模式
摘要

2014-10-05: 细节已通知厂商并且等待厂商处理中
2014-10-06: 厂商已经确认,细节仅向厂商公开
2014-10-16: 细节向核心白帽子及相关领域专家公开
2014-10-26: 细节向普通白帽子公开
2014-11-05: 细节向实习白帽子公开
2014-11-19: 细节向公众公开

漏洞概要 关注数(7) 关注此漏洞

缺陷编号: WooYun-2014-78355

漏洞标题: 魅族维修系统越权访问导致维修信息遍历

相关厂商: 魅族科技

漏洞作者: X防部

提交时间: 2014-10-05 12:04

公开时间: 2014-11-19 12:06

漏洞类型: 敏感信息泄露

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感信息泄露 错误信息未屏蔽 phpinfo

0人收藏

漏洞详情

披露状态:

2014-10-05: 细节已通知厂商并且等待厂商处理中
2014-10-06: 厂商已经确认,细节仅向厂商公开
2014-10-16: 细节向核心白帽子及相关领域专家公开
2014-10-26: 细节向普通白帽子公开
2014-11-05: 细节向实习白帽子公开
2014-11-19: 细节向公众公开

简要描述:

魅族维修系统越权访问导致维修信息遍历

详细说明:

漏洞站点:re.meizu.com

漏洞链接:http://re.meizu.com/searchCenter/ActingDetail.aspx?Id=(参数遍历)

案例:

http://re.meizu.com/searchCenter/ActingDetail.aspx?Id=44755

http://re.meizu.com/searchCenter/ActingDetail.aspx?Id=44756

http://re.meizu.com/searchCenter/ActingDetail.aspx?Id=44757

http://re.meizu.com/searchCenter/ActingDetail.aspx?Id=44758

........

魅族维修系统越权访问导致维修信息遍历

漏洞证明:

修复方案:

版权声明:转载请注明来源 X防部@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-10-06 22:17

厂商回复:

正在处理。

最新状态:

2014-11-19:厂商已修复

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-10-05 17:12 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈,看世间千姿百态...)

    1

    挖几个小米的大礼包!!!

  2. 2014-10-12 00:05 | Winck ( 路人 | Rank:14 漏洞数:4 | 华人安全网 www.systemsec.cn 719811394)

    1

    兄弟加我QQ676691517有事找你

  3. 2014-11-21 11:56 | 哇咔咔 ( 路人 | Rank:4 漏洞数:1 | 打酱油的,路过~)

    2

    表示现在仍然没有修复

  4. 2014-11-28 01:01 | 恶猫 ( 路人 | Rank:4 漏洞数:1 | 搞你搞到呱呱叫)

    1

    @X防部 兄弟 我加入 黑色产业 领域 给我审核下谢谢

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin