[公开漏洞]某省电信用户订单泄露敏感信息(姓名、电话、地址等)
-
来源:WooYun 浏览:669次 时间:2014-06-29
某省电信用户订单泄露敏感信息(姓名、电话、地址等)
相关厂商:
中国电信
漏洞作者:shl.
提交时间:2014-05-15 11:02
公开时间:2014-06-29 11:03
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:
已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源:http://www.wooyun.org
Tags标签:
无
漏洞详情
披露状态:
2014-05-15:细节已通知厂商并且等待厂商处理中
2014-05-18:厂商已经确认,细节仅向厂商公开
2014-05-28:细节向核心白帽子及相关领域专家公开
2014-06-07:细节向普通白帽子公开
2014-06-17:细节向实习白帽子公开
2014-06-29:细节向公众公开
水平越权,查看他人订单详情。
详细说明:涉及URL:
http://cq.189.cn/mall/order/detail?acceptId=EMA201308022131044147
http://cq.189.cn/mall/order/detail?acceptId=EMA201312261749238834
http://www.cq.189.cn/mall/order/detail?acceptId=EMA201402281440020936
严格限制用户的访问权限,在查询过程中增加session ID,user ID等用户参数信息。
版权声明:转载请注明来源 shl.@乌云 漏洞回应 厂商回应:危害等级:中
漏洞Rank:8
确认时间:2014-05-18 16:16
厂商回复:CNVD确认并复现所述情况,已经转由CNCERT下发中国电信集团公司通报处置。
最新状态:暂无
上一篇: 网易某分站漏洞导致网易众多论坛沦陷下载