当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05900

漏洞标题:tom某站存在php命令执行漏洞

相关厂商:TOM在线

漏洞作者: noid

提交时间:2012-04-09 20:13

修复时间:2012-05-24 20:13

公开时间:2012-05-24 20:13

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-09: 细节已通知厂商并且等待厂商处理中
2012-04-10: 厂商已经确认,细节仅向厂商公开
2012-04-20: 细节向核心白帽子及相关领域专家公开
2012-04-30: 细节向普通白帽子公开
2012-05-10: 细节向实习白帽子公开
2012-05-24: 细节向公众公开

简要描述:

TOM某站存在php命令执行漏洞

详细说明:

http://tuan.tom.com thinkphp代码执行漏洞
具体分析可以去看社区里GaRy写的<ThinkPHP framework 任意代码执行漏洞预警>

漏洞证明:

修复方案:

更新框架程序

版权声明:转载请注明来源 noid@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-04-10 15:28

厂商回复:

谢谢

最新状态:

暂无

漏洞评价:

评论

  1. 2012-04-09 20:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我勒个去 你这个扫描器太好用了

  2. 2012-04-09 20:16 | noid ( 普通白帽子 | Rank:285 漏洞数:18 )

    哈哈 换一个php的代码执行 节前对比补丁看到的洞 今天见GaRy写了分析 赞GaRy的共享精神 :)

  3. 2012-04-09 20:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @noid 也赞你的分享精神!

  4. 2012-04-09 20:20 | noid ( 普通白帽子 | Rank:285 漏洞数:18 )

    @xsser 我没扫描器啊 哈哈 节前用这站测试这漏洞来着 本来也准备这两天发的

  5. 2012-04-09 21:01 | xnet ( 实习白帽子 | Rank:99 漏洞数:11 | 工作~~)

    thinkPHP?

  6. 2012-04-09 21:10 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    :) 3L的意思。

  7. 2012-04-09 23:04 | Ra1nker ( 路人 | 还没有发布任何漏洞 | TeST)

    马克。

  8. 2012-04-09 23:30 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    求扫描器啊

  9. 2012-04-10 13:37 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    老洞未补

  10. 2012-04-10 13:39 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    这rank攒的可真快!

  11. 2012-04-10 17:47 | yingzi ( 实习白帽子 | Rank:38 漏洞数:3 )

    @noid 感觉没必要给tom爆漏洞了, 成功的入侵事件都只给5分, 不知道什么才是危害严重= =

  12. 2012-04-10 17:49 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @yingzi 有五点总比没有的好!

  13. 2012-04-10 18:05 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    你这个rank攒的,前排很有压力。

  14. 2012-04-10 18:08 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    等待公布日。。。

  15. 2012-04-10 23:40 | noid ( 普通白帽子 | Rank:285 漏洞数:18 )

    呵呵 都是发的没水平的东西 纯攒rank 可能tom的同学觉得这系统不重要吧 没关系 明日继续 嘿嘿

  16. 2012-04-10 23:49 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我靠,每个厂家拿40点都不得了了。

  17. 2012-05-26 05:43 | Mr,prince ( 普通白帽子 | Rank:126 漏洞数:12 | 一只小菜鸟。)

    我觉得应该把TOM这些站数据全部在脱了,给他们警告。给分未免也给的太低了把。

  18. 2012-05-26 09:21 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @noid 楼主是命令执行神呀 求指教 呵呵