当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04685

漏洞标题:用友ICC网站客服系统远程代码执行漏洞

相关厂商:用友软件

漏洞作者: only_guest

提交时间:2012-02-26 19:45

修复时间:2012-04-11 19:45

公开时间:2012-04-11 19:45

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-26: 细节已通知厂商并且等待厂商处理中
2012-02-27: 厂商已经确认,细节仅向厂商公开
2012-03-01: 细节向第三方安全合作伙伴开放
2012-04-22: 细节向核心白帽子及相关领域专家公开
2012-05-02: 细节向普通白帽子公开
2012-05-12: 细节向实习白帽子公开
2012-04-11: 细节向公众公开

简要描述:

全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限!
网络游戏
盛大网络
光通娱乐
在线销售
麦考林
母婴之家
教育
威迅教育
中锐留学
汽车
广州本田
永达汽车
物流
顺丰速运
申通快递
保险
太平洋保险
PICC中国人保
软件/互联网
金山软件

政府
上海公共研发平台

金融
中国银联
环迅电子商务有限公司
IFX
大成基金
东亚银行
运营商
中国电信
中国联通
安徽电信
西藏电信
行业资讯平台
泡泡网
中国汽车网
中国塑料网
网易163
零售卖场
苏宁电器

详细说明:

以下网站客服系统全部采用用友ICC客服系统
网络游戏
盛大网络
光通娱乐
在线销售
麦考林
母婴之家
教育
威迅教育
中锐留学
汽车
广州本田
永达汽车
物流
顺丰速运
申通快递
保险
太平洋保险
PICC中国人保
软件/互联网
金山软件

政府
上海公共研发平台

金融
中国银联
环迅电子商务有限公司
IFX
大成基金
东亚银行
运营商
中国电信
中国联通
安徽电信
西藏电信
行业资讯平台
泡泡网
中国汽车网
中国塑料网
网易163
零售卖场
苏宁电器
小米科技
该程序的
/home/ecccs/web/5107/upload/uploadFlash.php
文件存在严重的逻辑错误!
导致漏洞产生!
以上大型网站的客服系统全部可以通过此漏洞获取管理权限!

<?php
/**
 * uploadFlash.php
 * Flash文件上传.
 */
require_once('../global.inc.php');
//operateId=1 上传,operateId=2 获取地址.
$operateId	= intval($_REQUEST['operateId']);
if(empty($operateId)) exit;
if($operateId == 1){
	$date = date("Ymd");
	$dest = $CONFIG->basePath."data/files/".$date."/";
	$COMMON->createDir($dest);
	//if (!is_dir($dest))	mkdir($dest, 0777);
	
	$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));
	
	$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');
	
	if(!in_array($nameExt, $allowedType)){
		$msg = 0;
	}
	if(empty($msg)){
		$filename = getmicrotime().'.'.$nameExt;
		$file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
		
		$filename = $dest.$filename;
		if(empty($_FILES['Filedata']['error'])){
			move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);
		}
		
		if (file_exists($filename)){
			//$msg = 1;
			$msg = $file_url;
			@chmod($filename, 0444);
		}else{
			$msg = 0;
		}
	}
	$outMsg = "fileUrl=".$msg;
	$_SESSION["eoutmsg"] = $outMsg;
	exit;
}else if($operateId == 2){
	$outMsg = $_SESSION["eoutmsg"];
	if(!empty($outMsg)){
		session_unregister("eoutmsg");
		echo '&'.$outMsg;
		exit;
	}else{
		echo "&fileUrl=0";
		exit;
	}
}
function getmicrotime(){ 
    list($usec, $sec) = explode(" ",microtime()); 
    return ((float)$usec + (float)$sec); 
}
?>

漏洞证明:

随便例举几个存在的


https://95516.unionpay.com/5107/upload/uploadFlash.php 银联
http://icc.xunlei.com/5107/upload/uploadFlash.php 迅雷
http://app6.cpic.com.cn/5107/upload/uploadFlash.php 太平洋保险
http://im.e-picc.com.cn/5107/upload/uploadFlash.php 人寿保险
http://icc.hnair.com/5107/upload/uploadFlash.php 海南航空
http://icc.icafe8.com/5107/upload/uploadFlash.php 网维大师
http://online.haier.com/5107/upload/uploadFlash.php 海尔电器
http://imv3.duba.net/5107/upload/uploadFlash.php 金山毒霸
http://ncc2.sdrs.sdo.com/5107/upload/uploadFlash.php 盛大在线
http://csol.dcfund.com.cn/5107/upload/uploadFlash.php 大成基金
http://service.srcb.com/5107/upload/uploadFlash.php 上海农商银行

修复方案:

速度联系用友升级吧.这套系统里不是只有这么一个问题.我记得还有一个.临时找不到了.你们自己挖吧.

版权声明:转载请注明来源 only_guest@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-02-27 18:30

厂商回复:

惭愧,这段代码逻辑错误真的伤不起啊,目前已确认存在此问题,会立即修复此问题,尽快对所有受此影响用户进行安全更新.对only_guest的专业素养和品德致以万分敬意,感谢only_guest对ICC产品安全性提升的巨大帮助,也感谢wooyun提供了这样一个沟通安全研究人员和厂商的平台。

最新状态:

2012-03-05:目前受此漏洞已修复,受影响的客户均已修复,自行维护管理的用户我们已于2012-03-02日前通知所有用户修复,感谢所有关注用友ICC安全的研究者。我们会虚心接受关于产品改进的任何意见与建议,努力做出最好的产品。

2012-05-14:最近爆出的文件上传问题都是旧有版本(4.1.0.0之前版本)存在的问题,自2009年以后的ICC新版本(4.1.0.0版本及后续版本)前端已全部迁移至JAVA中间件平台,并全部重写了前端web相关模块,文件上传采取了全新的实现方式,着重提升了系统安全性。由于部分版本定制导致新旧版本升级兼容性问题和业务问题使得部分用户未能升级到新版本,部分旧版本的安全性问题未能及时发现和修复,感谢piaoye@乌云对我们产品安全提升的关注。我们始终关注并尊重所有安全研究者对ICC产品的安全性提升的意见和建议,并承诺不掩盖任何已知问题,任何新旧版本存在的问题,我们都会认真修正,及时修复所有受影响的系统,再次对piaoye@乌云,only_guest@乌云,Jannock@乌云各位安全研究者对我们ICC产品安全提升的关注和巨大帮助。