当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06795

漏洞标题:新浪某内部生活站命令执行漏洞

相关厂商:新浪

漏洞作者: 蟋蟀哥哥

提交时间:2012-05-07 23:18

修复时间:2012-05-09 12:20

公开时间:2012-05-09 12:20

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:12

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-07: 细节已通知厂商并且等待厂商处理中
2012-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

新浪某内部生活站命令执行漏洞.

详细说明:

新浪某内部生活站命令执行漏洞.还是tp..
看来sina员工的生活搞得不错啊..
这次有没有礼物啊...

漏洞证明:


没深入..可利用的东西应该还是较多.

修复方案:

吃完饭还是把漏洞给修复上吧,补丁包都出来这么久了

版权声明:转载请注明来源 蟋蟀哥哥@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-09 12:20

厂商回复:

感谢提供
该漏洞非常严重,可以获得 sinafood.com 的服务器权限。
但是 sinafood.com 该网站和新浪没有关系,只是为新浪员工提供送餐服务的送餐公司的一个订餐站点。
所以等订餐公司修复后忽略该漏洞。

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2012-05-08 02:05 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    = =, 看来新浪的礼物让楼主小宇宙爆发了!

  2. 2012-05-08 08:44 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @gainover 是啊。。。全爆了

  3. 2012-05-09 00:22 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @xsser 这都修复了,还不确认

  4. 2012-05-09 12:23 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @蟋蟀哥哥 呵呵,失策了吧

  5. 2012-05-09 12:51 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @新浪 既然是专为sina员工订餐的..还是有一定危害的...比如渗透...社工..都有很大的利用价值..只是你们没权限管理

  6. 2012-05-09 13:01 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    外部关联:http://zone.wooyun.org/content/44

  7. 2012-05-09 14:24 | CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)

    这个库有价值

  8. 2012-05-09 14:28 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @CnCxzSec(衰仔) 没拿库。。直接上报了。。

  9. 2012-05-09 15:35 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    = = 又是thinkphp ..