漏洞概要
关注数(24)
关注此漏洞
漏洞标题:德邦某智能网管系统存在命令执行漏洞
提交时间:2015-05-19 11:19
修复时间:2015-05-25 14:01
公开时间:2015-05-25 14:01
漏洞类型:系统/服务补丁不及时
危害等级:高
自评Rank:15
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2015-05-19: 细节已通知厂商并且等待厂商处理中
2015-05-20: 厂商已经确认,细节仅向厂商公开
2015-05-25: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
st2命令执行
详细说明:
分支机构智能网管系统
http://snms.deppon.com:8080/itms/index.login.action
漏洞证明:
在根目录下上传jsp访问会跳转到登录页面,我们可以利用jboss
上传到这个文件夹里jbossmq-httpil
小马:http://180.153.16.29:8080/jbossmq-httpil/one.jsp
ip对应的系统是http://snms.deppon.com:8080/jbossmq-httpil/wooyun.jsp
或http://180.153.16.29:8080/jbossmq-httpil/wooyun.jsp
密码woo0yun
修复方案:
版权声明:转载请注明来源 茜茜公主@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-05-20 15:26
厂商回复:
您好,感谢您对德邦安全的关注以及您对问题的反馈。我们已着手处理该问题。
最新状态:
2015-05-25:感谢您的帮助,我们已经关闭风险接口,并将在后期的版本更新中对安全问题进行审查。谢谢