漏洞概要
关注数(24)
关注此漏洞
漏洞标题:绿野团购网站命令执行漏洞可导致主站沦陷(可证明)
漏洞作者: 围剿
提交时间:2013-08-01 18:35
修复时间:2013-09-15 18:36
公开时间:2013-09-15 18:36
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2013-08-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
主站命令执行,详见详细说明。。。
详细说明:
Struts2命令执行,没错,我纳闷你们为何还没打补丁。
爆路径:/app/deploy/jobs/nlvyesite_8082/workspace/target/ROOT/
写小马shell:http://www.lvye.com/2.jsp
漏洞证明:
修复方案:
升级 struts 最新版本,请自行删除执行脚本。
版权声明:转载请注明来源 围剿@乌云
漏洞回应