漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-023924
漏洞标题:网站漏洞导致入侵获得webshell
相关厂商:theskinfoodchina.cn
漏洞作者: 紫藤居士
提交时间:2013-05-17 14:56
修复时间:2013-07-01 14:56
公开时间:2013-07-01 14:56
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-17: 厂商已经确认,细节仅向厂商公开
2013-05-27: 细节向核心白帽子及相关领域专家公开
2013-06-06: 细节向普通白帽子公开
2013-06-16: 细节向实习白帽子公开
2013-07-01: 细节向公众公开
简要描述:
思亲肤网站漏洞导致获得webshell
详细说明:
http://www.theskinfoodchina.cn
思亲肤官方网站使用易想商城的代码修改而来,存在FCK漏洞,可直接上传aspx马到网站根目录,从而获取到webshell。因为是个在线商城,后台数据泄露也很严重,商城会员二十多万,免邮券,订单号,发货单号,收货信息,各类营销数据都一览无遗啊,被利用起来危害很严重,sql是内网sa权限,看到数据怕怕未敢继续渗透。真没想到公司安全问题这么严重啊,希望能够重视安全。
漏洞证明:
修复方案:
升级fck编辑器,修改后台默认路径,sql请勿使用sa账号。顺便求个活动上的那种化妆品套装一份送老婆(奔着这个套装才看网站的O(∩_∩)O~)
版权声明:转载请注明来源 紫藤居士@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-05-17 16:03
厂商回复:
感谢wooyun 提供信息。
漏洞正在修补。
您的留言已经发送给 skinfod 换妆品公司。
最新状态:
暂无