当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017512

漏洞标题:世纪佳缘代码执行可导致内网渗透

相关厂商:世纪佳缘

漏洞作者: krbl

提交时间:2013-01-19 00:02

修复时间:2013-01-24 00:03

公开时间:2013-01-24 00:03

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-19: 细节已通知厂商并且等待厂商处理中
2013-01-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

漏洞页面:http://www.jiayuan.com/gamecenter/tools/index.php

漏洞证明:

6.jpg

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

9.jpg


修复方案:

无意中发现的,感觉不太妙就赶紧提交了,删了吧……

版权声明:转载请注明来源 krbl@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-24 00:03

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2013-01-24:漏洞以修复 非常感谢krbl。

2013-01-24:那个忽略可能是失误,请wooyun更新一下状态 好给krbl 评一下Rank

漏洞评价:

评论

  1. 2013-01-19 00:47 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    ca,绝对火。

  2. 2013-01-19 11:54 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    已关注。

  3. 2013-01-19 13:51 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    关注

  4. 2013-01-19 17:33 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    @xsser 感谢帮改标题——,呵呵

  5. 2013-01-19 18:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @krbl 必须专业

  6. 2013-01-19 20:08 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    刚开始没仔细看,现在认真看了下突然发现危害程度非常大…………。

  7. 2013-01-19 20:30 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    坐等妹纸

  8. 2013-01-24 00:28 | 0ps ( 实习白帽子 | Rank:43 漏洞数:10 | xo)

    为毛又是忽略然后删除页面?

  9. 2013-01-24 00:45 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    呵呵。谁能想到呢?世纪佳缘要点脸?

  10. 2013-01-24 01:55 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    竟然忽略掉了?!

  11. 2013-01-24 09:04 | plt ( 普通白帽子 | Rank:109 漏洞数:21 | 我神马都不懂。。。)

    世纪佳缘的底线在哪儿

  12. 2013-01-24 09:51 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @plt 世纪佳缘没有底线

  13. 2013-01-24 10:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    很想知道那个杀死进程的地方能否执行命令

  14. 2013-01-24 10:42 | cy3ber ( 路人 | Rank:3 漏洞数:1 | 11</textarea><script>alert(xss)</script>)

    @xsser 必须能 不过页面已经删了 这样的厂商应该直接封杀,太不要脸了~

  15. 2013-01-24 10:42 | cy3ber ( 路人 | Rank:3 漏洞数:1 | 11</textarea><script>alert(xss)</script>)

    @xsser 我若干年前提交了三个洞子 半年了都未审核 卧槽 剑心不给力啊~

  16. 2013-01-24 15:22 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    忽略居然还修复了

  17. 2013-01-24 16:06 | plt ( 普通白帽子 | Rank:109 漏洞数:21 | 我神马都不懂。。。)

    这种厂商以后拒绝直接对话吧

  18. 2013-01-24 16:11 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。。厂商说之前的忽略是失误、不知道是不是真的、。。

  19. 2013-01-24 16:52 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @px1624 好多都这样说

  20. 2013-01-24 17:38 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    槽大了…………忽略了…………

  21. 2013-01-24 17:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    已经给洞主加分

  22. 2013-01-24 17:48 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    @xsser 也算安心了……

  23. 2013-01-27 12:19 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付,值得拥有)

    MB,下次发现洞了,直接脱裤,什么JB厂商。。

  24. 2013-11-06 13:49 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    里面有亮点

  25. 2013-11-06 13:55 | 国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)

    必火!亮点亮瞎了!

  26. 2013-11-07 10:42 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    好凶残的管理Shell

  27. 2013-11-11 19:21 | krbl ( 实习白帽子 | Rank:97 漏洞数:13 | ♦♠♣♫♪☼☻☺ஐ♥♀♂☆๑۩۞۩๑☜☞...)

    @jeary 啥亮点?