漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-047568
漏洞标题:蜘蛛网主站命令执行导致沦陷
相关厂商:spider.com.cn
漏洞作者: w5r2
提交时间:2014-01-14 10:27
修复时间:2014-02-28 10:27
公开时间:2014-02-28 10:27
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-14: 细节已通知厂商并且等待厂商处理中
2014-01-17: 厂商已经确认,细节仅向厂商公开
2014-01-27: 细节向核心白帽子及相关领域专家公开
2014-02-06: 细节向普通白帽子公开
2014-02-16: 细节向实习白帽子公开
2014-02-28: 细节向公众公开
简要描述:
服务器组件未验证导致服务沦陷,渗透到邮箱系统,敏感资料泄漏。
蜘蛛网( www.spider.com.cn )是中国最大最具影响力的报刊网络发行机构。蜘蛛网所属上海万丰文化传播公司成立于2005年3月,注册资本1200万元。总部位于上海,在北京、广州、南京、长沙、合肥、杭州、南昌、武汉等地设有分(子)公司,在 美国、 加拿大、英国、 法国、新加坡、中国台湾等地设有代理人。2008年5月,蜘蛛网获得中国发行行业首笔大额风险融资。是中国最大、最具影响力的报刊网络发行机构和文化e站,商品涵盖报刊、图书、演出与电影票、礼品、艺术品等各大类文化产品,其中报刊、演艺票务等业务居于全国同行业领先地位。
详细说明:
漏洞证明:
如上
修复下 木马路径
修复方案:
jboss修复下。管理员及时修复该漏洞,可造成话费充值、报刊订阅、电影票以及车票订购!
版权声明:转载请注明来源 w5r2@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-01-17 09:50
厂商回复:
此漏洞会造成企业大量数量泄露,造成损失。
目前已经找到问题并修复,请确认。
再次表示感谢
最新状态:
暂无