当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118569

漏洞标题:烟台市政府却网站(GOV-struts2)命令执行

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-06-09 10:41

修复时间:2015-07-27 19:18

公开时间:2015-07-27 19:18

漏洞类型:命令执行

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-09: 细节已通知厂商并且等待厂商处理中
2015-06-12: 厂商已经确认,细节仅向厂商公开
2015-06-22: 细节向核心白帽子及相关领域专家公开
2015-07-02: 细节向普通白帽子公开
2015-07-12: 细节向实习白帽子公开
2015-07-27: 细节向公众公开

简要描述:

第三波,前两拨的好像都修复了。

详细说明:

隐藏的管理action

漏洞证明:

1111.png

2222.png

应该是最后的一次了。。
下面是部分受影响的GOV站点

http://mbh.yantai.gov.cn 【欢迎光临中国民间工艺品博览会!】
http://cms.yantai.gov.cn 【欢迎来到烟台市黄金局主页】
http://12330.yantai.gov.cn 【烟台12330】
http://glj.yantai.gov.cn 【安全生产月专题】
http://rshj.yantai.gov.cn 【烟台市人力资源和社会保障局】
http://fr.yantai.gov.cn 【欢迎光临投资促进局网站】
http://ipo.yantai.gov.cn 【欢迎访问烟台市知识产权局网站!】
http://lgzx.yantai.gov.cn 【烟台市老干部活动中心】
http://www.yantaiepz.gov.cn 【烟台保税港区】
http://www.ytfda.gov.cn 【烟台市食品药品监督管理局--我要留言】
http://ajj.yantai.gov.cn 【2 013】
http://hyj.yantai.gov.cn 【附件1: - 烟台市海洋与渔业局】
http://ymnh.yantai.gov.cn 【烟台自然博物馆】
http://paffc.yantai.gov.cn 【欢迎光临烟台友协网站】
http://dwgk.yantai.gov.cn 【烟台党务公开网】
http://tzb.yantai.gov.cn 【烟台统一战线 烟台市委统战部主办】
http://bsgq.yantai.gov.cn 【烟台保税港区】
http://kys.yantai.gov.cn 【昆嵛山国家级自然保护区--公众参与】
http://ytrd.yantai.gov.cn 【主任会议--烟台人大信息网】
http://rcyxld.yantai.gov.cn 【企业高端人才有序流动系统】
http://www.yantaifdi.gov.cn 【中国烟台国际投资促进网】
http://lntx.yantai.gov.cn 【烟台市老年人体育协会欢迎您!】
http://kx.yantai.gov.cn 【烟台市科学技术协会】
http://ptjj.yantai.gov.cn 【烟台市葡萄与葡萄酒局】
http://kr.yantai.gov.cn 【Yantai Investment Development Board】
http://fda.yantai.gov.cn 【发放《医疗器械经营企业许可证》公示(第2011001号)】
http://hbj.yantai.gov.cn 【hbj.yantai.gov.cn】

修复方案:

还是按以前的修复。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-06-12 19:17

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无