当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07521

漏洞标题:SinaEditor二次开发JSP版本漏洞

相关厂商:创思佳互动网络CREATBEST

漏洞作者: itleaf

提交时间:2012-05-25 13:40

修复时间:2012-07-09 13:40

公开时间:2012-07-09 13:40

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-25: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经确认,细节仅向厂商公开
2012-06-01: 细节向第三方安全合作伙伴开放
2012-07-23: 细节向核心白帽子及相关领域专家公开
2012-08-02: 细节向普通白帽子公开
2012-08-12: 细节向实习白帽子公开
2012-07-09: 细节向公众公开

简要描述:

SinaEditor二次开发版本漏洞

详细说明:

   SinaEditor为开源web编辑器,创思佳互动网络经过二次开发得到JSP版本(猜测)。其版本存在上传漏洞,导致直接上传jsp webshell 拿下受影响的web服务器。由于创思佳互动网络CREATBEST对外开展网站建设业务,其负责建设的网站使用SinaEditor网站均存在漏洞。
受影响网站:交通部天津水运工程科学研究院www.tiwte.ac.cn
(旁站 北京铁路局天津火车站www.tjhcz.com.cn)

漏洞证明:


在测试过程中发现以下木马文件
http://www.tiwte.ac.cn/UserFiles/Image/1.jsp
http://www.tiwte.ac.cn/UserFiles/Image/1(1).jsp
http://www.tiwte.ac.cn/UserFiles/Image/job.jsp
http://www.tiwte.ac.cn/UserFiles/Image/shell.jsp
漏洞文件

<%@ page contentType="text/html;charset=utf-8" %>
<%@ page import="java.text.SimpleDateFormat"%>
<%@ page import="java.io.File"%>
<%@ page import="java.util.*"%>
<%@ page import="javazoom.upload.*"%>
<%@ page import="uploadutilities.FileMover"%>
<%@ page errorPage="ExceptionHandler.jsp" %>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<%
request.setCharacterEncoding("utf-8");
FileMover fileMover = new FileMover();
UploadBean upBean = new UploadBean();
MultipartFormDataRequest mrequest = null;
Hashtable files = null;

if (MultipartFormDataRequest.isMultipartFormData(request))
{
mrequest = new MultipartFormDataRequest(request,null,100*1024*1024,MultipartFormDataRequest.COSPARSER,"UTF-8");
files = mrequest.getFiles();
}
String sWebRootPath = request.getRealPath("/");
String sPath=sWebRootPath+"upload\\Image";
int iFileCount = 0;
String sServerFileName="";
String sLocalFileName = "";
if ( (files != null) && (!files.isEmpty()) ) {
iFileCount = files.size();
UploadFile file = (UploadFile) files.get("file1");
sLocalFileName=file.getFileName();
int ii= sLocalFileName.indexOf(".");
String sExt = sLocalFileName.substring(ii,sLocalFileName.length());
java.util.Date dt = new java.util.Date(System.currentTimeMillis());
SimpleDateFormat fmt = new SimpleDateFormat("yyyyMMddHHmmssSSS");
sServerFileName= fmt.format(dt);
sServerFileName =sServerFileName + sExt;
File dir =new File(sPath);
if (!dir.exists()){
dir.mkdirs();
}
upBean.setFolderstore(sPath);
upBean.setBlacklist("*.jsp");

upBean.addUploadListener(fileMover);
fileMover.setNewfilename(sServerFileName);
upBean.store(mrequest, "file1");
out.println("<script>window.parent.LoadIMG('https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/Image/"+sServerFileName+"');</script>");
}
%>


修复方案:

在相关upload.jsp的第31行末尾添加如下代码
if(sLocalFileName.contains(".jsp")){
return ;
}
此为针对此sinaeditor编辑器jsp版本图片上传漏洞的临时解决方案
注:没有全面测试

版权声明:转载请注明来源 itleaf@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2012-05-29 15:27

厂商回复:

CNVD确认并复现所述情况(感谢itleaf的大力协助),由于软件为开源软件,暂未能联系上厂商或开发方。对于涉及的网站用户(涉事单位),转由CNCERT协调进行处置。
对漏洞评分如下:
CVSS:(AV:R/AC:L/Au:NR/C:C/A:N/I:P/B:N) score:8.47(最高10分,高危)
即:远程攻击、攻击难度低、不需要用户认证,对机密性构成完全影响,对完整性构成部分影响。
技术难度系数:1.1 (给出了针对客户端验证的临时解决措施)
影响危害系数:1.2(一般,涉及部分企事业单位,由于不具备明显检测特征,暂无法评估)
CNVD综合评分:8.47*1.1*1.2=11.180

最新状态:

暂无


漏洞评价:

评论

  1. 2012-05-29 16:46 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @xsser我的rank怎么一下子变31了,原来是11现在加这个11,那不是22吗?如果加精不是双倍吗,那也得是33啊= =、难道rank加分抽了?