今天乌云漏洞报告平台官方网站发布消息,称京东商城用户资料遭泄露。在漏洞详情描述中介绍到:“京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。”
此漏洞已经得到京东的回应,并自评漏洞等级Rank为20级。此前,CSDN自评漏洞等级也为20级。从以上信息可以看出,似乎这个漏洞泄露出来的信息远没有CSDN和天涯那么严重,并未提到用户名和密码的泄露。但是对于用户姓名、地址和电话等重要信息的泄露也是相当严重的!
京东商城表示,他们在今日上午11点看到该平台发布其漏洞后开始排查,目前还没有可以对外发布的结果。
以下是wooYun平台官方详细信息:
漏洞概要
缺陷编号: WooYun-2011-03789
漏洞标题: 京东商城用户资料完全泄漏
相关厂商: 京东商城漏洞
作者: 我心飞翔
提交时间: 2011-12-26
漏洞类型: 用户资料大量泄漏危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源: http://www.wooyun.org
漏洞详情
简要描述:京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。
漏洞hash:582d3bbb7338c822c7cb95700b1846b0
厂商回应:危害等级:中
漏洞Rank:10 (这个与上面的自评Rank冲突啊!)
确认时间:2011-12-27
厂商回复:感谢对京东的关注,我们马上处理。