漏洞概要
关注数(24)
关注此漏洞
漏洞标题:乐视旗下网酒网一个小失误一步一步控制到某服务器(可内网渗透)
提交时间:2014-07-02 09:22
修复时间:2014-08-16 09:24
公开时间:2014-08-16 09:24
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-07-02: 细节已通知厂商并且等待厂商处理中
2014-07-02: 厂商已经确认,细节仅向厂商公开
2014-07-12: 细节向核心白帽子及相关领域专家公开
2014-07-22: 细节向普通白帽子公开
2014-08-01: 细节向实习白帽子公开
2014-08-16: 细节向公众公开
简要描述:
早上上班 吃完饭逛逛乌云 看看昨天的漏洞还没有确认 距离周五还有2天了 48小时 2880分钟 172800秒 .......
详细说明:
有问题的站点:
http://css.wangjiu.com/ 打开后乱七八糟的 有种遗弃的赶脚!
三个问题:
0x01:信息泄露
http://css.wangjiu.com//WEB-INF/web.xml
0x02:不知道是任意文件下载还是怎么样
http://css.wangjiu.com/login.jsp
既然下下来了就看一看吧。
然后直接百度了
直接就出来登陆地址了
没登陆进去 只是提示到期了之类的
root权限 这就好玩了
漏洞证明:
这下又能提交好多了乐视的漏洞了
修复方案:
版权声明:转载请注明来源 乐乐、@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2014-07-02 09:37
厂商回复:
辛苦了 :) 昨天的漏洞还没有确认应该不是乐视的吧~~
最新状态:
暂无