新浪Show多个mangodb服务存在未授权访问情况

漏洞概要

缺陷编号:WooYun-2015-095390

漏洞标题:新浪Show多个mangodb服务存在未授权访问情况

相关厂商:新浪

漏洞作者:Mr .LZH

提交时间:2015-02-25 12:56

公开时间:2015-04-13 16:58

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-25: 细节已通知厂商并且等待厂商处理中
2015-02-26: 厂商已经确认,细节仅向厂商公开
2015-03-08: 细节向核心白帽子及相关领域专家公开
2015-03-18: 细节向普通白帽子公开
2015-03-28: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

新浪mangodb未授权访问,数据量非常大,执行db.stats()查看数据库情况直接卡死。

详细说明:

找了新浪的ip段,找不到什么可访问的web应用,于是扫了一下ip段的27017端口,找到以下ip开放了27017端口:

其中,58.221.43.123 存在未授权访问。4个数据库内容泄露。数据库SinaShow数据量非常大,执行db.stats()查看数据库情况,登录几分钟直接卡死。看看数据量:

每天创建一个集合,数据影响范围从2013年至今。

里面有各种日志和各种记录。

漏洞证明:

修复方案:

求给15rank以上,急用。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-02-2611:46

厂商回复:

感谢关注新浪安全,ip为合作方服务器,将通知合作方进行修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 老笨蛋 白帽子 | Rank:6 漏洞数:1)

    火速围观。

  2. 2010-01-01 00:00 Mr .LZH 白帽子 | Rank:540 漏洞数:47)

    @老笨蛋 额。。。我们认识?

  3. 2010-01-01 00:00 老笨蛋 白帽子 | Rank:6 漏洞数:1)

    @Mr .LZH 大牛,俺认识你,你不认识俺……

  4. 2010-01-01 00:00 Mr .LZH 白帽子 | Rank:540 漏洞数:47)

    @老笨蛋 不可能,认识我,又知道我ID的只有几个人