当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034624

漏洞标题:某招聘系统存在S2漏洞

相关厂商:wintalent.cn

漏洞作者: mango

提交时间:2013-12-02 14:36

修复时间:2014-01-16 14:36

公开时间:2014-01-16 14:36

漏洞类型:命令执行

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-02: 细节已通知厂商并且等待厂商处理中
2013-12-02: 厂商已经确认,细节仅向厂商公开
2013-12-12: 细节向核心白帽子及相关领域专家公开
2013-12-22: 细节向普通白帽子公开
2014-01-01: 细节向实习白帽子公开
2014-01-16: 细节向公众公开

简要描述:

这个我不小心从搜狐的某处看到的然后就提交了、、、、比较坑爹

详细说明:

http://hr.sohu.com/ 我在这查看源码的时候不小心看到的
漏洞地址
http://www.wintalent.cn:8010/wt/login!input

1.jpg


2.jpg


3.jpg


4.jpg


搜狐、奇虎、新浪、百度、美团、海尔等等招聘数据库都在

漏洞证明:

3.jpg


1.jpg


- - 拒绝查水表
这是应该提交给谁? 搜狐、奇虎、新浪、百度、美团、海尔?我在搜狗发现的、
希望@疯狗 能协助 搜狐、奇虎、新浪、百度、美团、海尔一起修补- -
还是想要点礼物、、、太晚了。。睡觉了、

修复方案:

@奇虎、@新浪、@百度、@美团、@海尔

版权声明:转载请注明来源 mango@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-12-02 18:44

厂商回复:

已经在8月份完成对该漏洞的修复。但因为我公司与乌云间未建立通畅的沟通渠道,因此无法给乌云提供及时的回应,多谢支持。

最新状态:

2013-12-03:Structs2漏洞刚暴露出来时,百度第一时间通知到我们,我们立即进行了紧急处理,但在处理过程中本漏洞在升级前一天被发现,第二天我们就打好升级补丁。服务器上展现的数据库主要是测试环境数据库。未来我们将进一步提升对安全漏洞的应对速度,感谢Mongo。

2014-01-16:这个漏洞在2013年就已经处理了