[公开漏洞]Lotus Domino WebMail一处越权访问

Lotus Domino WebMail一处越权访问 相关厂商： IBM 漏洞作者：正好五个字 提交时间：2014-03-17 15:12 公开时间：2014-05-01 15:13 漏洞类型：未授权访问/权限绕过 危害等级：高 自评Rank：10 漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源：http://www.wooyun.org Tags标签： 管理后台对外 敏感信息泄露 越权操作 未授权访问 漏洞详情 披露状态：

2014-03-17：细节已通知厂商并且等待厂商处理中
2014-03-24：厂商已经确认，细节仅向厂商公开
2014-04-03：细节向核心白帽子及相关领域专家公开
2014-04-13：细节向普通白帽子公开
2014-04-23：细节向实习白帽子公开
2014-05-01：细节向公众公开

简要描述：

Lotus Domino WebMail后台绕过

详细说明：

某天闲的蛋疼搜索某个东西

结果出现了这个，注意力集中到了这个

http://pop.hengan.com/mail5/jilinbsc.nsf/WebHelp/!OpenPage

手贱点了下

google搜索了下，貌似都差不多

漏洞证明：

修复方案：

俺不知道

版权声明：转载请注明来源 正好五个字@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-03-24 22:27

厂商回复：

CNVD确认并复现所述多个实例情况，对于该漏洞CNVD还需要进一步测试（目前还在找应用特征，以便实例更大规模的检测），如果白帽子有发现的好方法，也请多指教。目前对于受影响版本还未确认，只是有几个实例上确认有风险，也不排除是默认配置问题。暂评rank 12，如果影响范围进一步扩大，则另行评估

最新状态：

暂无