漏洞标题 新浪乐居的站点漏洞涉及370名公众成千上万的粉丝（可以发送消息） 相关制造商 Leju.com 漏洞作者 Format_smile 提交时间 2016-05-11 09: 28 公共时间 2016-06-25 09: 40 漏洞类型 设计缺陷/逻辑错误 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 覆盖，设计缺陷/边界旁路，逻辑错误 漏洞详细信息 漏洞地址：http://admin.weixin.leju.com/?site=web&ctl=login&act=index 帐户yanmin密码已更改为wooyun123 漏洞证明： 漏洞2，超权泄露了全站短信 这里可以遍历ID 漏洞3，查看材料清单的权利 点击预览＆amp;按下即可查看网站上的所有资料，猜测可以直接推送！所以不要做遍历。 修理计划： 添加验证码权限控制 版权声明：请注明来源Format_smile @乌云