漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-035413
漏洞标题:九阳豆浆机某分站任意代码执行导致用户敏感信息泄露
相关厂商:joyoung.com
漏洞作者: 雨夜
提交时间:2013-08-27 18:52
修复时间:2013-10-11 18:53
公开时间:2013-10-11 18:53
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-27: 细节已通知厂商并且等待厂商处理中
2013-08-29: 厂商已经确认,细节仅向厂商公开
2013-09-08: 细节向核心白帽子及相关领域专家公开
2013-09-18: 细节向普通白帽子公开
2013-09-28: 细节向实习白帽子公开
2013-10-11: 细节向公众公开
简要描述:
九阳某分站由于版本老旧导致任意代码执行,已拿到webshell,各地客服信息泄露,部分企业敏感信息泄露
详细说明:
问题出在客服技术论坛上
由于使用DISCUZ 7.2版本,只要我们有个用户就可以获取webshell。
使用discuz 7.x命令执行漏洞即可
先猜个用户,这个简单,客服平台,你懂的。
EXP:
获取webshell
操作数据库
漏洞证明:
不多说,服务器可以各种提权,但是兴趣缺乏,这种东西还是别放链接在主页的好
修复方案:
换个别人找不见的地方吧
版权声明:转载请注明来源 雨夜@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2013-08-29 09:08
厂商回复:
感谢提出安全漏洞!
最新状态:
暂无