漏洞概要
关注数(24)
关注此漏洞
漏洞标题: 某通用型Ess(高层主管支持系统)与PSA(经理平台)两类管理系统均可Getshell(3例测试,含三十余处本地配置与数据库)
提交时间:2015-02-11 15:58
修复时间:2015-04-30 18:48
公开时间:2015-04-30 18:48
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-02-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
某通用型Ess(高层主管支持系统)与PSA(经理平台)均存在漏洞Getwebshell!(以下给予三例测试,包含三十余处本地配置信息以及数据库信息),相关站点摸索也是大型企业!(有一例貌似是爱立信还是宜通世纪等)|乌云漏洞平台改革了,ID:疯狗也说了,越详细奖励越多,这次我就整理与写的比较详细,支持乌云!支持重视网络安全的大中小企业!未来、互联网会更好!
详细说明:
诺明软件1999年成立以来,一直坚持“软件助力企业发展,软件让管理更轻松”的理念,致力于企业管理软件的开发和推广。我们既借鉴国际先进的管理实践,又兼顾中国本地企业的管理文化,借助领先的信息技术和丰富的行业经验,搭建起知识和价值的桥梁,帮助中国本地企业优化业务流程,提高管理水平,实现业务增值。
Norming Ess 管理系统所处均存在Struts2命令执行漏洞。
给予3例测试
1、命令执行
2、默认配置
3、Database
Getshell之后:
</code>
漏洞证明:
修复方案:
1、贵公司也看到此系统的配置以及运行环境所处的风险,希望贵公司能正确对待!(以上3例要是更加深入去链接数据库以及挖掘会更大影响到用户的利益与风险,但此漏洞我只需列出案例的测试与包含的风险。更多也请贵公司多多包涵,不吝指教!)
2、作为一名白帽子这是我应该做的!希望大家都关注、注重网络安全事件以及自身安全!
3、#$奖励有没有?
#$礼物有没有呢?
版权声明:转载请注明来源 路人甲@乌云
漏洞回应