时代企业邮企业通用邮件系统源码泄露

admin

139803
文章

114
评论

2017年4月29日17:35:25评论291 views字数 233阅读0分46秒阅读模式

摘要

2016-03-08：细节已通知厂商并且等待厂商处理中
2016-03-08：厂商已经确认，细节仅向厂商公开
2016-03-14：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(13) 关注此漏洞

缺陷编号： WooYun-2016-182279

漏洞标题：时代企业邮企业通用邮件系统源码泄露

漏洞作者： V1ct0r

提交时间： 2016-03-08 17:21

修复时间： 2016-03-14 17:30

公开时间： 2016-03-14 17:30

漏洞类型：敏感信息泄露

危害等级：高

自评Rank： 15

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：源码泄露

4人收藏

漏洞详情

披露状态：

2016-03-08：细节已通知厂商并且等待厂商处理中
2016-03-08：厂商已经确认，细节仅向厂商公开
2016-03-14：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

广东时代互联科技有限公司--时代互联，成立于2000年，是中国首批经ICANN（国际互联网域名体系最高管理机构）和CNNIC（中国互联网络信息中心）认证的注册商，也是中国最大的域名和网站托管服务提供商。官方网站：http://www.now.cn/

详细说明：

其中在其官网我们可以看到时代互联提供了邮箱的服务：

其企业邮箱服务叫：时代企业邮 TodayMail

简单百度看下，即可发现很多企业都采用了这套企业邮箱服务，也不乏一些政府网站。

漏洞证明：

Git泄露站点：http://103.242.101.222/

泄露地址：http://103.242.101.222/.git/

泄露版本：时代企业邮V2.3.0 （应该是目前最新的版本）

从而导致我们可以下载整站系统的源码：

修复方案：

版权声明：转载请注明来源 V1ct0r@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2016-03-08 17:53

厂商回复：

谢谢

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-17 21:35 | theone ( 实习白帽子 | Rank:50 漏洞数:9 | hodor，hodor)

1

求一份GitHack.py

1# 回复此人
2016-03-17 21:59 | V1ct0r ( 普通白帽子 | Rank:375 漏洞数:81 | 生活不止眼前的苟且,还有黑客和远方.)

1

@theone https://github.com/kost/dvcs-ripper 用这个吧...Githack有些文件会下漏：p

2# 回复此人
2016-03-19 17:50 | Xser ( 普通白帽子 | Rank:408 漏洞数:91 | JDSec)

1

求份源码

3# 回复此人
2016-03-21 15:24 | theone ( 实习白帽子 | Rank:50 漏洞数:9 | hodor，hodor)

1

@V1ct0r 谢谢！

4# 回复此人

漏洞概要 关注数(13) 关注此漏洞