当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053258

漏洞标题:车迷店网站被黑发现多个后门(已成马场)

相关厂商:车迷店

漏洞作者: new

提交时间:2014-03-13 11:39

修复时间:2014-04-27 11:40

公开时间:2014-04-27 11:40

漏洞类型:重要敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-04-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

车迷网可以查看服务器下的所有文件路径

详细说明:

该网站得所有文件路径在浏览器中都可以查看,部分文件可以下载并上传

Directory Listing For /userfiles/ - Up To /
Filename Size Last Modified
CVS/ Tue, 28 Feb 2006 15:24:49 GMT
CVS\index.jsp 12.6 kb Thu, 31 Jan 2013 18:39:08 GMT
adcontent/ Tue, 28 Feb 2006 15:24:58 GMT
adcontent.rar 5705.7 kb Wed, 19 Apr 2006 04:03:29 GMT
adcontent\index.jsp/ Tue, 04 Dec 2012 09:00:43 GMT
maf.html 0.0 kb Tue, 16 Apr 2013 03:41:41 GMT
oos/ Thu, 13 Jul 2006 02:01:37 GMT
product/ Sat, 08 Jun 2013 16:32:41 GMT
product\jfolder_20130218113147.jsp 31.4 kb Mon, 18 Feb 2013 09:38:34 GMT
product\py.jsp 85.3 kb Wed, 27 Feb 2013 03:14:15 GMT
wholesales/ Mon, 08 Oct 2007 08:21:01 GMT
Apache Tomcat/5.0.28

漏洞证明:

http://www.bjautofans.com/userfiles/
http://www.bjautofans.com/userfiles/product/img/20090121/editor/1232508889437.jsp

222.png

修复方案:

设置用户权限,删除浏览文件得脚本

版权声明:转载请注明来源 new@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝