当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110054

漏洞标题:某浴霸大品牌CMS漏洞未补导致被入侵挂黑链改链接严重影响品牌形象

相关厂商:奥普浴霸

漏洞作者: 路人甲

提交时间:2015-04-24 15:16

修复时间:2015-06-08 15:18

公开时间:2015-06-08 15:18

漏洞类型:恶意信息传播

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国内某浴霸品牌官网已经被入侵,挂黑链(赌博等垃圾黑链)、子目录建网页、旗舰店链接被修改……

详细说明:

本想着了解一下奥普浴霸,看看合适就买一个呢,结果一看他的官网,就失望了……
搜一下奥普,显示做了百度品牌推广(大品牌好像都做这个),品牌形象顿时有了。

QQ截图20150424091059.png


可是打开页面一看,发现最下面有点异常:

QQ截图20150424091257.png


问题一:大量违法黑链
再一查看源码,好家伙,被挂黑链不说,还光明正大的不隐藏!隐藏的还有更多!

QQ截图20150424091427.png


QQ截图20150424091459.png


我想问一下,你们品牌推广给谁做的呢?
问题二:子目录用来放大量违法内容
http://www.aupu.net/plus/

QQ截图20150424091718.png


问题三:官方商城旗舰店链接被替换

QQ截图20150424091830.png


作为浴霸品牌的领头羊,官网被人这样乱搞,品牌形象不受影响么?
再来看看是什么漏洞:

QQ截图20150424092026.png


居然敢用织梦的系统,用就用吧,后台地址还这么好找~

QQ截图20150424092140.png


就不用进去看了……肯定是CMS漏洞导致的被多人入侵!

漏洞证明:

问题一:大量违法黑链
再一查看源码,好家伙,被挂黑链不说,还光明正大的不隐藏!隐藏的还有更多!

QQ截图20150424091427.png


QQ截图20150424091459.png


我想问一下,你们品牌推广给谁做的呢?
问题二:子目录用来放大量违法内容
http://www.aupu.net/plus/

QQ截图20150424091718.png


问题三:官方商城旗舰店链接被替换

QQ截图20150424091830.png


作为浴霸品牌的领头羊,官网被人这样乱搞,品牌形象不受影响么?
再来看看是什么漏洞:

QQ截图20150424092026.png


居然敢用织梦的系统,用就用吧,后台地址还这么好找~

QQ截图20150424092140.png

修复方案:

升级CMS修复漏洞或者干脆重新做站。
后台地址什么的就不用我说了吧。
全面清理整站垃圾信息及后门。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝