漏洞概要
关注数(24)
关注此漏洞
漏洞标题:珍爱网文件上传
漏洞作者: 蓝风
提交时间:2012-11-11 16:09
修复时间:2012-12-26 16:09
公开时间:2012-12-26 16:09
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-11-11: 细节已通知厂商并且等待厂商处理中
2012-11-12: 厂商已经确认,细节仅向厂商公开
2012-11-22: 细节向核心白帽子及相关领域专家公开
2012-12-02: 细节向普通白帽子公开
2012-12-12: 细节向实习白帽子公开
2012-12-26: 细节向公众公开
简要描述:
珍爱网文件上传,可惜不是你IIS。求妹纸关怀......
详细说明:
上传地址,http://2012.zhenai.com/ckfinder/ckfinder.html
可惜不是iis啊!
但是对本目录的文件,可以增删改减:
漏洞证明:
修复方案:
版权声明:转载请注明来源 蓝风@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-11-12 13:54
厂商回复:
安全无小事,谢谢蓝风兄。
最新状态:
暂无
漏洞评价:
评论
-
2012-11-11 18:49 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-11-11 19:12 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-11-11 19:55 |
Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)
@蟋蟀哥哥 @鬼魅羊羔 今天寂寞的人不少,我是来拯救你们的!
-
2012-11-11 19:59 |
蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
@蟋蟀哥哥 @鬼魅羊羔 @Metasploit 各位大神他的这个是 nginx+win08支持asp和aspx;是可以上传任意文件(当然asp,aspx,和php等可执行文件是不行的)可以控制文件名和内容,怎么突破呢?
-
2012-11-11 22:26 |
园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)
@蓝风 有目录执行权限么?如果是限制了的那种图片目录就别想了。
-
2012-11-11 22:56 |
Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)
-
2012-11-12 11:49 |
小蝎 ( 普通白帽子 | Rank:140 漏洞数:21 )
元芳说,光棍节之初,楼顶的去黑婚恋网,此人真堪称神人也。
-
2012-11-12 12:30 |
蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
-
2012-11-12 13:30 |
蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
-
2012-12-02 17:54 |
冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)
怎么我又看不到? "披露状态:提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞 ( 可以等待进一步公开或者支付 3 个乌云币提前查看 ) 2012-11-11: 细节已通知厂商并且等待厂商处理中2012-11-12: 厂商已经确认,细节仅向厂商公开2012-11-22: 细节向核心白帽子及相关领域专家公开2012-12-02: 细节向普通白帽子公开"
