当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120966

漏洞标题:北京电信通某产品管理平台存在struts2漏洞

相关厂商:北京电信通

漏洞作者: 帅克笛枫

提交时间:2015-06-18 12:02

修复时间:2015-08-02 12:04

公开时间:2015-08-02 12:04

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:17

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

有点像你,有点像我,灿烂的笑容里也有脆弱,包容着你包容着我,就像你我心中的那条护城河~~

详细说明:

北京电信通机房介绍
公司概况:
A股上市——— 中立于 电信、联通、移动 之间最大运营商
北京电信通电信工程有限公司 (以下简称电信通),是A股上市公司
电信通是成都鹏博士电信传媒集团股份有限公司(A股代码:600804)专营IDC互联网数据中心和ISP互联网接入业务的全资子公司,电信通是目前国内中立于各电信运营商之间最大的互联网基础服务提供商。电信通依托雄厚的出口资源,和涵盖北京全市所有网吧、近万企业用户、逾十万社区个人用户的独特城域网用户资源。电信通有搜狐、新浪、九城、联众、盛大、三星、公安部、等众多主机托管顶级用户。
机房实力: 北京数据中心市场最大运营商!独资拥有5家大型机房!北京电信通某产品管理平台存在struts2漏洞
打开网址:http://www.chinadns.org/,如图所示:

bj1.png

找到其中一个产品管理平台,如图所示:

bj2.png

查看下权限,如图所示:

bj3.png

bj4.png

查看系统当前开放的端口,如图所示:

bj5.png

漏洞证明:

系统的用户及用户组,如图所示:

bj6.png

可以看到系统中的部分日志文件,如图所示:

bj7.png

bj8.png

系统的部分目录,如图所示:

bj9.png

bj10.png

修复方案:

~~升级struts2框架~~打补丁~~修复~~你们更专业

版权声明:转载请注明来源 帅克笛枫@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝