漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0162842
漏洞标题:华仪骏驰远程命令执行内网ROOT权限
相关厂商:华仪骏驰
漏洞作者: 路人甲
提交时间:2015-12-22 01:34
修复时间:2016-02-07 17:56
公开时间:2016-02-07 17:56
漏洞类型:命令执行
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-22: 细节已通知厂商并且等待厂商处理中
2015-12-25: 厂商已经确认,细节仅向厂商公开
2016-01-04: 细节向核心白帽子及相关领域专家公开
2016-01-14: 细节向普通白帽子公开
2016-01-24: 细节向实习白帽子公开
2016-02-07: 细节向公众公开
简要描述:
北京华仪骏驰物联网技术有限公司成立于2008年05月,(简称:华仪股份)是一家从事以物联网应用开发与研究,数据采集与处理,数据深度挖掘与推广及工程类监测仪器的生产、销售为一体的高新技术企业。产品涵盖了传感器、物联终端、网络传输设备和应用平台,同时为用户定制开发物联网应用解决方案并提供交钥匙工程服务。公司拥有一批集土木工程、结构力学、电子技术、传感器技术、自动控制、计算机软件、机械设计等专业的队伍,不断提高科技创新能力和科技综合实力为“感知中国”发展提供更加坚实的基础支撑和科技引领。公司以建设“感知中国”为己任,旨在掌握物联网核心技术,致力于成为全球领先的物联网解决方案供应商。积极围绕客户需求,通过不断提升的物联网技术为客户提供优质的信息化升级服务,努力成为客户心中物联网服务的领导者。
华仪骏驰拥有高素质的员工队伍,其中博士十余名,硕士近百名,90%以上的员工具有本科学士学位。已为数千家用户提供了优秀的信息系统解决方案,涵盖多种应用与技术平台,用户遍布质检、环保、国土、水利、电力、政府、交通、国防、医疗、科研、石油、保险及制造等行业项目。
详细说明:
**.**.**.**:7001/GPSMonitor/tiles/jsp/login.jsp
存在JAVA反序列化命令执行漏洞!
ROOT权限且为内网
未深入,仅作危害证明!
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-12-25 19:15
厂商回复:
CNVD未直接复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。
最新状态:
暂无