漏洞标题 McDull Travel Network的漏洞包含敏感的用户信息(包括团体通知/护照/合同/机票行程/酒店确认通知等) 相关制造商 麦兜旅游网 漏洞作者 过路人 提交时间 2016-04-26 09: 47 公共时间 2016-06-10 15: 20 漏洞类型 任何文件遍历/下载 危险等级 低 自我评估等级 五 漏洞状态 制造商已确认 标签标签 文件操作不当 漏洞详细信息 未验证文件下载,文件ID未加密,文件ld可以遍历文件。 网站: maidou.com http://maidou.com/file/download.do?fileId=30038 可以遍历ID 漏洞证明: 大约有40,000条数据,包括团体通知,护照,合同,机票行程和酒店确认通知。
修理计划: 加上权限验证 版权声明:请注明出处。居民A @乌云