当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011786

漏洞标题:联众世界数据库信息泄露,存在拖库隐患

相关厂商:联众世界

漏洞作者: NiceWorm

提交时间:2012-09-05 16:57

修复时间:2012-10-20 16:57

公开时间:2012-10-20 16:57

漏洞类型:命令执行

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-05: 细节已通知厂商并且等待厂商处理中
2012-09-10: 厂商已经确认,细节仅向厂商公开
2012-09-20: 细节向核心白帽子及相关领域专家公开
2012-09-30: 细节向普通白帽子公开
2012-10-10: 细节向实习白帽子公开
2012-10-20: 细节向公众公开

简要描述:

远程任意命令执行漏洞,通过读取配置文件链接数据库,远程链接数据库。

详细说明:

地址:
http://dpc.lianzhong.com/poker/intro.action

漏洞证明:


网站物理路径: /home/dev/app/tomcat/webapps/poker
java.home: /home/dev/app/jdk1.6.0_27/jre
java.version: 1.6.0_27
os.name: Linux
os.arch: i386
os.version: 2.6.18-238.el5
user.name: dev
user.home: /home/dev
user.dir: /home/dev/app/tomcat/bin
-----------------------------------
total 68K
drwxrwxr-x 14 dev dev 4.0K Jan  9  2012 .
drwxr-xr-x  4 dev dev 4.0K Jan  9  2012 ..
drwxr-xr-x  2 dev dev 4.0K Dec 28  2011 alipay
drwxr-xr-x  2 dev dev 4.0K Dec 28  2011 b2b
drwxr-xr-x  2 dev dev 4.0K Feb  2  2012 b2c
drwxr-xr-x  4 dev dev 4.0K Jan  4  2012 common
drwxr-xr-x  2 dev dev 4.0K Dec 28  2011 css
-rw-r--r--  1 dev dev 1.2K Dec  4  2011 favicon.ico
drwxr-xr-x  3 dev dev 4.0K Dec 28  2011 fckeditor
drwxr-xr-x  2 dev dev 4.0K Dec 28  2011 imgB
drwxr-xr-x  2 dev dev 4.0K Jan 11  2012 imgC
drwxr-xr-x  3 dev dev 4.0K Dec 28  2011 js
-rw-rw-r--  1 dev dev    4 Dec 29  2011 test.html
-rw-rw-r--  1 dev dev  648 Dec 29  2011 test.jsp
drwxr-xr-x  3 dev dev 4.0K Mar 19 10:50 upload
drwxrwxr-x  2 dev dev 4.0K Mar  5  2012 uploadtmp
drwxr-xr-x  4 dev dev 4.0K Jan  9  2012 WEB-INF
-----------------------------------

修复方案:

版权声明:转载请注明来源 NiceWorm@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-09-10 10:07

厂商回复:

停用网站未及时处理,感谢您的关注.

最新状态:

暂无