漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0110054
漏洞标题:某浴霸大品牌CMS漏洞未补导致被入侵挂黑链改链接严重影响品牌形象
相关厂商:奥普浴霸
漏洞作者: 路人甲
提交时间:2015-04-24 15:16
修复时间:2015-06-08 15:18
公开时间:2015-06-08 15:18
漏洞类型:恶意信息传播
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
国内某浴霸品牌官网已经被入侵,挂黑链(赌博等垃圾黑链)、子目录建网页、旗舰店链接被修改……
详细说明:
本想着了解一下奥普浴霸,看看合适就买一个呢,结果一看他的官网,就失望了……
搜一下奥普,显示做了百度品牌推广(大品牌好像都做这个),品牌形象顿时有了。
可是打开页面一看,发现最下面有点异常:
问题一:大量违法黑链
再一查看源码,好家伙,被挂黑链不说,还光明正大的不隐藏!隐藏的还有更多!
我想问一下,你们品牌推广给谁做的呢?
问题二:子目录用来放大量违法内容
http://www.aupu.net/plus/
问题三:官方商城旗舰店链接被替换
作为浴霸品牌的领头羊,官网被人这样乱搞,品牌形象不受影响么?
再来看看是什么漏洞:
居然敢用织梦的系统,用就用吧,后台地址还这么好找~
就不用进去看了……肯定是CMS漏洞导致的被多人入侵!
漏洞证明:
问题一:大量违法黑链
再一查看源码,好家伙,被挂黑链不说,还光明正大的不隐藏!隐藏的还有更多!
我想问一下,你们品牌推广给谁做的呢?
问题二:子目录用来放大量违法内容
http://www.aupu.net/plus/
问题三:官方商城旗舰店链接被替换
作为浴霸品牌的领头羊,官网被人这样乱搞,品牌形象不受影响么?
再来看看是什么漏洞:
居然敢用织梦的系统,用就用吧,后台地址还这么好找~
修复方案:
升级CMS修复漏洞或者干脆重新做站。
后台地址什么的就不用我说了吧。
全面清理整站垃圾信息及后门。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝