iku爱酷后台开放匿名代理服务 | WooYun-2011-02909 | WooYun.org

    漏洞概要

    关注数(4)

    关注此漏洞

    缺陷编号： WooYun-2011-02909

    漏洞标题： iku爱酷后台开放匿名代理服务

    相关厂商： 优酷

    漏洞作者： kaida

    提交时间： 2011-09-30

    公开时间： 2011-10-30

    漏洞类型： 默认配置不当

    危害等级： 高

    自评Rank： 20

    漏洞状态：

    厂商已经确认

    漏洞来源： http://www.wooyun.org

    Tags标签：

    敏感接口未加权限认证

    敏感接口缺乏校验

    稀缺资源保护不当

    网络资源滥用

    0人收藏

    收藏

    分享漏洞：

    0

    漏洞详情

    披露状态：

    2011-09-30： 细节已通知厂商并且等待厂商处理中

    2011-10-02： 厂商已经确认，细节仅向厂商公开

    2011-10-12： 细节向核心白帽子及相关领域专家公开

    2011-10-22： 细节向普通白帽子公开

    2011-11-01： 细节向实习白帽子公开

    2011-11-16： 细节向公众公开

    简要描述：

    iku爱酷是优酷的一款小巧的客户端软件，

    提供下载，转存，播放，搜索，上传视频五大功能。

    此软件在运行时，会自动开放匿名代理服务，可以被互联网其他用户非法利用。

    详细说明：

    iku爱酷运行时会开放多个端口监听 0.0.0.0，

    其中 843 和 8909 端口可以被匿名访问并提供Internet代理服务。

    此漏洞已经被广泛利用在多种非法用途，不详表。

    漏洞证明：

    修复方案：

    修改软件。

    版权声明：转载请注明来源 kaida@乌云

    漏洞回应

    厂商回应：

    危害等级：中

    漏洞Rank：10

    确认时间：2011-10-02

    厂商回复：

    处理中

    最新状态：

    暂无

    漏洞评价：

    对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值