当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011764

漏洞标题:中国电信天翼任意文件上传,服务器已沦陷

相关厂商:中国电信天翼

漏洞作者: 邪少

提交时间:2012-09-05 11:11

修复时间:2012-10-20 11:12

公开时间:2012-10-20 11:12

漏洞类型:文件上传导致任意代码执行

危害等级:低

自评Rank:2

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-05: 细节已通知厂商并且等待厂商处理中
2012-09-07: 厂商已经确认,细节仅向厂商公开
2012-09-17: 细节向核心白帽子及相关领域专家公开
2012-09-27: 细节向普通白帽子公开
2012-10-07: 细节向实习白帽子公开
2012-10-20: 细节向公众公开

简要描述:

中国电信天翼 后台泄漏+上传漏洞,其中发现该站点已被多人上传webshell进行攻击,请立刻处理!

详细说明:

中国电信天翼 后台泄漏+上传漏洞

漏洞证明:





修复方案:

修复 你们自己懂的。

版权声明:转载请注明来源 邪少@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2012-09-07 22:45

厂商回复:

CNVD确认漏洞并复理所述上传漏洞情况,已由CNCERT协调中国电信集团公司处置。
按完全影响机密性,部分影响完整性、可用性进行评分,rank=8.97*1.0*1.3=11.661

最新状态:

暂无

漏洞评价:

评论

  1. 2012-09-06 04:08 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    俄。。也不是有很多人路过的。就是我一个上传的很多个shell因为要测试吗。。所以shell都是我上传上去的

  2. 2012-09-06 09:45 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    等着被跨吧,呵呵,不解释。

  3. 2012-09-06 17:41 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @saline 哎哟 这不是F4ck的 管理员 么。。俺也是。一个小小的会员我怕啥啊,反正shell 我也没登录。也没破坏什么。

  4. 2012-09-06 17:46 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @邪少 @saline 政府类的安全漏洞通过cncert做判定与中转,是走了合法途径的

  5. 2012-09-07 01:25 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @疯狗 你的意思是说 我们安全检测是合法的???还是我误解了你的意思

  6. 2012-09-07 11:33 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @邪少 通报流程是受到保护的,是合理的。

  7. 2012-09-08 09:03 | zhq445078388 ( 实习白帽子 | Rank:60 漏洞数:19 | 请牢记"杀进程点康姆")

    @邪少 走乌云转CNCERT的通报 会将没有引起破坏的入侵认为是安全检测 所以判定是受保护的

  8. 2012-09-08 19:08 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @疯狗 @zhq445078388 哦。原来。多谢各位了。下次来本道这里来做客,免费让 算命一次