漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0154824
漏洞标题:zzradio郑州广播在线存在网站备份泄露/遍历导致sql数据库泄露
相关厂商:郑州人民广播电台
漏洞作者: MaxSnake
提交时间:2015-11-27 00:06
修复时间:2016-01-15 18:18
公开时间:2016-01-15 18:18
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-27: 细节已通知厂商并且等待厂商处理中
2015-12-01: 厂商已经确认,细节仅向厂商公开
2015-12-11: 细节向核心白帽子及相关领域专家公开
2015-12-21: 细节向普通白帽子公开
2015-12-31: 细节向实习白帽子公开
2016-01-15: 细节向公众公开
简要描述:
问题描述又不能吃-
详细说明:
郑州人民广播电台,是中国中原地区最具影响力的广播电台之一。
郑州人民广播电台1981年4 月1日开播,1993年4月1日在中国长江以北率先实现全天24小时播音。2005年2月, 原郑州人民广播电台、郑州经济广播电台、郑州文艺广播电台整合成立新的郑州人民广播电台,现有员工260多名。目前拥有新闻广播、经济广播、音乐广播、三套节目,《549新闻报道》、《早餐可乐 》、《今夜不寂寞》、《 午间特快》、《夜色撩人》、《城市新空气》、《精彩零距离》等广播节目拥有大量听众。2003年,被国家人事部、国家广电总局授予“全国广播电影电视系统先进集体”称号。2009年,我台在中国传媒大会上荣获“金长城传媒奖——2009中国十大广播电台(频率)”荣誉称号。在中央人民广播电台中国之声发稿量连续十年位居全国省会城市台第一名,荣获“十强”称号。
我本来是拿神器扫后台来着,结果扫着扫着出了个这玩意
以为是前辈留下的大马
我一打开
♂看,那才叫爽♂
这遍历的,,,,那叫一个干净啊
然后我就开始找看看有没有什么好东西,
然后就找到了这货www.rar
迅雷下载速度杠杠的
打开一看
通过查看inc
发现是dedecms
那就肯定存有数据库配置喽
ok点到为止
漏洞证明:
郑州人民广播电台,是中国中原地区最具影响力的广播电台之一。
郑州人民广播电台1981年4 月1日开播,1993年4月1日在中国长江以北率先实现全天24小时播音。2005年2月, 原郑州人民广播电台、郑州经济广播电台、郑州文艺广播电台整合成立新的郑州人民广播电台,现有员工260多名。目前拥有新闻广播、经济广播、音乐广播、三套节目,《549新闻报道》、《早餐可乐 》、《今夜不寂寞》、《 午间特快》、《夜色撩人》、《城市新空气》、《精彩零距离》等广播节目拥有大量听众。2003年,被国家人事部、国家广电总局授予“全国广播电影电视系统先进集体”称号。2009年,我台在中国传媒大会上荣获“金长城传媒奖——2009中国十大广播电台(频率)”荣誉称号。在中央人民广播电台中国之声发稿量连续十年位居全国省会城市台第一名,荣获“十强”称号。
我本来是拿神器扫后台来着,结果扫着扫着出了个这玩意
以为是前辈留下的大马
我一打开
♂看,那才叫爽♂
这遍历的,,,,那叫一个干净啊
然后我就开始找看看有没有什么好东西,
然后就找到了这货www.rar
迅雷下载速度杠杠的
打开一看
通过查看inc
发现是dedecms
那就肯定存有数据库配置喽
ok点到为止
修复方案:
管理员用完请删除a.php
网站备份在服务器上是件危险的事
用dedecms就意味着你们要在安全上下功夫!
版权声明:转载请注明来源 MaxSnake@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-12-01 18:16
厂商回复:
CNVD未复现所述情况,暂未列入处置流程。
最新状态:
暂无