漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0160137
漏洞标题:某建站系统通用型任意文件上传,可getshell
相关厂商:北京金方时代
漏洞作者: 路人甲
提交时间:2015-12-16 19:16
修复时间:2016-01-28 17:10
公开时间:2016-01-28 17:10
漏洞类型:文件上传导致任意代码执行
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-16: 细节已通知厂商并且等待厂商处理中
2015-12-18: 厂商已经确认,细节仅向厂商公开
2015-12-28: 细节向核心白帽子及相关领域专家公开
2016-01-07: 细节向普通白帽子公开
2016-01-17: 细节向实习白帽子公开
2016-01-28: 细节向公众公开
简要描述:
北京金方时代 http://bjjfsd.com/ 任意文件上传可getshell
北京金方时代科技有限公司于2008年在工商行政管理部门注册成立,注册资金1000万元。金方时代面向企业、事业单位、政府机关提供网站建设服务。公司自成立七年以来,针对市场动向进行技术创新,110人的团队中,技术人员达到60人左右。除企业展示网站外,对B2C 电子商务平台、B2B电子商务平台、BBS社区、P2P平台..
在乌云搜了一下发现http://www.wooyun.org/bugs/wooyun-2015-0142872有提到这个漏洞,然而厂商忽略了。。。
详细说明:
漏洞证明:
修复方案:
对上传的文件要进行判断和过滤啊==,程序员该反省了
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-12-18 10:41
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。
最新状态:
暂无