经济观察网 综合报道 网易科技消息，3月22日消息，乌云平台连续披露了两个携程网安全漏洞，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，导致携程安全支付日志可被任意还可读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

乌云网站截图

漏洞提交者称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

乌云漏洞平台将这一漏洞危害等级标注为高，并已通知厂商，目前状态为等待厂商处理中。

同时被曝光的另一漏洞显示，携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)，目前该漏洞也已被乌云平台确认。