中央政府网邮箱系统目录遍历

漏洞概要

缺陷编号:WooYun-2012-05907

漏洞标题:中央政府网邮箱系统目录遍历

相关厂商:CNVD

漏洞作者:冰锋刺客

提交时间:2012-04-12 13:03

公开时间:2012-05-25 13:04

漏洞类型:重要敏感信息泄露

危害等级:低

自评Rank:2

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2012-04-12: 细节已通知厂商并且等待厂商处理中
2012-04-10: 厂商已经确认,细节仅向厂商公开
2012-04-20: 细节向核心白帽子及相关领域专家公开
2012-04-30: 细节向普通白帽子公开
2012-05-10: 细节向实习白帽子公开
2012-05-25: 细节向公众公开

简要描述:

目录遍历,路径..

详细说明:

http://**.**.**.**/extend/zh_cn/9luCih4CiWMQQQXZQYAXFQX7XJAUUXZ8w7ygWi/jsp/icp/user/js/CVS/Roothttp://**.**.**.**/extend/zh_cn/9luCih4CiWMQQQXZQYAXFQX7XJAUUXZ8w7ygWi/jsp/icp/user/js/CVS/Repositoryhttp://**.**.**.**/extend/zh_cn/9luCih4CiWMQQQXZQYAXFQX7XJAUUXZ8w7ygWi/jsp/icp/user/user_form.jsphttp://**.**.**.**/extend/zh_cn/a0Wna8AnaJCQaQXOKeqNVi3z3d1i93dqd1lous/jsp/business/register/这个http://**.**.**.**/extend/zh_cn/a0Wna8AnaJCQaQXOKeqNVi3z3d1i93dqd1lous/jsp/算是邮箱系统根目录吧

漏洞证明:

修复方案:

你们知道的 。 我随便看看而已,表找俺..

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-04-10 13:28

厂商回复:

CNVD确认目录遍历情况,可以查看到采用的第三方邮件系统产品,以及一些注册页面设置,但未能走完正常的邮箱注册逻辑。转入CNCERT处置流程,上报主管部门处置。rank 2.

最新状态:

暂无

评价

  1. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    N年前,这个不跟你们聊天的时候,跟你们说了么。还没修复?

  2. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @xsser 向普通白帽子开放,普通白帽子表示看不到……BUG了?

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @一刀终情 请短信联系我下

  4. 2010-01-01 00:00 Blackeagle 白帽子 | Rank:62 漏洞数:10)

    @xsser 呃,我也看不到。

  5. 2010-01-01 00:00 Blackeagle 白帽子 | Rank:62 漏洞数:10)

    @xsser 表示不知道啥时候变见习白帽子了。。

  6. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @Blackeagle 嗯 刚分级了

  7. 2010-01-01 00:00 Blackeagle 白帽子 | Rank:62 漏洞数:10)

    @xsser 具体的等级公示在哪里有看?Rank多少到白帽子呀?

  8. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @Blackeagle 稍后我会给出来

  9. 2010-01-01 00:00 saline 白帽子 | Rank:204 漏洞数:22)

    基友啊...

  10. 2010-01-01 00:00 店小弎 白帽子 | Rank:93 漏洞数:13)

    @xsser 这是怎么样来定位的。

  11. 2010-01-01 00:00 Blackeagle 白帽子 | Rank:62 漏洞数:10)

    http://mail.gov.cn/index2.jsp?locale=zh_cn
    直接mail.gov.cn就跳到上面的网页了。这也不算啥漏洞。

  12. 2010-01-01 00:00 oldcat 白帽子 | Rank:68 漏洞数:13)

    这个应急中心有联系相关部门,可是那边不怎么重视,没有处理。Cncert机扫的时候就有扫到这个漏洞。