漏洞概要
关注数(24)
关注此漏洞
漏洞标题:佰草集网站Zend XML-RPC漏洞
提交时间:2012-07-08 08:11
修复时间:2012-08-22 08:12
公开时间:2012-08-22 08:12
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:7
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2012-07-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-08-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
由于Zend XML-RPC执行外部漏洞,会造成配置文件等敏感信息泄露
详细说明:
该漏洞可以使用外部命,发送请求获取到服务器上的一些信息;
漏洞证明:
修复方案:
Magento官方也发了补丁,主要增加了libxml_disable_entity_loader(true),关闭执行外部命令,根据现使用的版本,找对应的patch,打上补丁就可以了,或者根据新添加内容,自行修正,最好也改一下现有服务器配置文件的权限,这样即使这个漏洞没有补,也不能根据这种方式获取信息了。
http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability/
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:7 (WooYun评价)