当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061225

漏洞标题:TRS系统任意文件下载漏洞

相关厂商:北京拓尔思信息技术股份有限公司

漏洞作者: 路人甲

提交时间:2014-05-18 10:06

修复时间:2014-08-16 10:08

公开时间:2014-08-16 10:08

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-18: 细节已通知厂商并且等待厂商处理中
2014-05-22: 厂商已经确认,细节仅向厂商公开
2014-05-25: 细节向第三方安全合作伙伴开放
2014-07-16: 细节向核心白帽子及相关领域专家公开
2014-07-26: 细节向普通白帽子公开
2014-08-05: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

简要描述:

详细说明:

此系统多为大型政府新闻发布站点(新闻源),如一旦被某些(博彩集团)控制,估计后果危害不是一般大。。。
http://123.131.133.150:8080/wcm/ 临沂日报报业集团
http://61.153.63.94/wcm 云和县政府所有发布站点
http://www.cflac.org.cn/wcm 中国文联
http://wcm.xxz.gov.cn:8080/wcm/ 湘西州政府站群
http://www.jscnt.gov.cn/wcm/ 江苏省文化厅
http://www.sccnt.gov.cn 四川省文化厅
http://218.94.123.203/wcm 江苏长安网
http://203.86.89.25/wcm/ 中国书籍出版社
http://www.lfcgs.gov.cn:8080/wcm/ 廊坊车管所
http://iwr.cass.cn/wcm/ 中国社会科学院
http://www.whxinzhou.gov.cn:9090/wcm/ 新洲区人民政府公众网
http://123.131.133.150:8080/wcm/ 琅琊网
http://122.224.174.82:8090/wcm/ 中国美术学院
http://www.qhepb.gov.cn 青海省环保厅
http://211.154.254.113:8080/wcm/ 佛教在线
……等等
分析:TRS WCM中读取上传图片的:wcm/app/system/read_image.jsp

String sFileName = currRequestHelper.getString("FileName");//这里直接获取文件名,未进行任何判断,也未做任何过滤处理
if(sFileName == null || sFileName.trim().length()==0)
throw new WCMException(ExceptionNumber.ERR_PARAM_INVALID, "传入文件名为空! ");


try{
if(true) {
FilesMan currFilesMan = FilesMan.getFilesMan();
sFileName = currFilesMan.mapFilePath(sFileName, FilesMan.PATH_LOCAL) + sFileName;//未对文件名进行有效判断。只检测是否为空
}else{
java.io.File f = new java.io.File(sFileName);
if(f.exists()){
sFileName = f.getAbsolutePath();
}else {
......//省略若干代码


顾可通过构造好的链接下载任意文件,例如可下载tomcat配置文件,如
tomcat/conf/tomcat-users.xml
通过跳转字符../ 或者 ..\ 可跳转到tomcat目录,或者下载源码
演示如下:

@6QHYU}U$G3D]6T_H3_T~75.jpg


8V3%M6URK@GKA}`D1MO8_Q9.jpg


在对下载文件的过程中,应对../ 以及 ..\ 这样的字符进行充分判断。。。

漏洞证明:

@6QHYU}U$G3D]6T_H3_T~75.jpg


8V3%M6URK@GKA}`D1MO8_Q9.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-05-22 13:54

厂商回复:

感谢反馈,此问题在3月份已发布安全补丁,公司会继续督促前线人员对未更新案例进行跟踪。

最新状态:

暂无