漏洞概要
关注数(24)
关注此漏洞
漏洞标题:乐凑贷P2P平台存在struts2命令执行漏洞
提交时间:2016-01-13 16:09
修复时间:2016-02-27 11:49
公开时间:2016-02-27 11:49
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2016-01-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
乐凑贷首家最大最安全的P2P网络投资理财、网络贷款平台,存在struts2命令执行漏洞,可任意执行命令;但平台有相关防护手段,检测到后,会将IP拉入黑名单,限制访问该网站。
详细说明:
漏洞链接
该服务其直接配置了外网地址182.92.97.174,且可开放了22端口服务,可外网ssh服务。
由于恶意访问,IP被限制,未能完成相关测试工作;同时,可创建账号、上传相关后门得到webshell。
请尽快确认漏洞,进行修复。。。。
漏洞证明:
该服务其直接配置了外网地址182.92.97.174,且可开放了22端口服务,可外网ssh服务。
修复方案:
漏洞回应