当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026523

漏洞标题:大众点评某分站 默认安装文件未删除

相关厂商:大众点评

漏洞作者: 猪猪侠

提交时间:2013-06-21 21:04

修复时间:2013-08-05 21:05

公开时间:2013-08-05 21:05

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-21: 细节已通知厂商并且等待厂商处理中
2013-06-21: 厂商已经确认,细节仅向厂商公开
2013-07-01: 细节向核心白帽子及相关领域专家公开
2013-07-11: 细节向普通白帽子公开
2013-07-21: 细节向实习白帽子公开
2013-08-05: 细节向公众公开

简要描述:

我在测试这个分站的时候,发现网站的favicon.ico是Discuz的默认图标,就猜测肯定和Discuz有关系了,结果真是,测出来默认安装文件未删除。

详细说明:

# 安装向导,可以指定一个UCenter,重新安装覆盖掉现有数据

http://zhidao.www.dianping.com/uc_client/install/?language=simplified_chinese_utf8


# 坑爹的UC_SERVER后台

http://zhidao.www.dianping.com/uc_server/admin.php?m=user&a=login&iframe=&sid=


install.png


漏洞证明:

# 不敢指定自己的UCENTER测试,怕破坏掉你们的数据。

install.png


修复方案:

删除掉默认安装文件
这个要是霸蛮去试,还是能拿到SHELL的,那样去做就损人也不利己了,不可取。
帅哥,分给高点吧,我也不容易啊。

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-06-21 21:17

厂商回复:

再次谢谢猪猪侠,看来在持续关注啊~~
之前那个漏洞也提到,这个是个边缘系统,也不是自己开发的,不过还好就是这套系统与其他服务器之间是隔离的。

最新状态:

暂无