当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021613

漏洞标题:CNVD国家安全漏洞共享平台任意上传

相关厂商:CNVD国家安全漏洞共享平台

漏洞作者: iiiiiiiii

提交时间:2013-04-11 18:50

修复时间:2013-05-26 18:51

公开时间:2013-05-26 18:51

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-11: 细节已通知厂商并且等待厂商处理中
2013-04-12: 厂商已经确认,细节仅向厂商公开
2013-04-22: 细节向核心白帽子及相关领域专家公开
2013-05-02: 细节向普通白帽子公开
2013-05-12: 细节向实习白帽子公开
2013-05-26: 细节向公众公开

简要描述:

CNVD国家安全漏洞共享平台任意上传

详细说明:

注册用户 头像那任意上传

13.jpg


似乎有人守着。。 传上去以后没几分钟就没了
- -

漏洞证明:

1.jpg

13.jpg


修复方案:

?!!!

版权声明:转载请注明来源 iiiiiiiii@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-04-12 17:35

厂商回复:

CNVD确认漏洞情况,这是开发中的低级错误,也是在网站升级过程中未做好统一的版本控制,部署了未经安全测试的版本文件。已经更新版本。
rank 11

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-11 18:52 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    今天CNVD专场??

  2. 2013-04-11 18:57 | lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)

    什么情况!这都怎么了!

  3. 2013-04-11 19:05 | deeRix ( 路人 | Rank:11 漏洞数:2 )

    晚报了一步...........

  4. 2013-04-11 19:07 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    下班了... 难道你不吃饭...........

  5. 2013-04-11 19:10 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:47 | 我思故我猥琐,我猥琐故我强大)

    开门,查水表

  6. 2013-04-11 19:12 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    一更新问题这么多 囧。

  7. 2013-04-11 20:41 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  8. 2013-04-11 20:41 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    cnvd网站503了

  9. 2013-04-11 20:55 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @VIP 谁在乱搞

  10. 2013-04-11 21:16 | cncert国家互联网应急中心(乌云厂商)

    已经在更新,既有开发中的低级错误,也有版本管理控制的疏漏。先谢谢,这个发证书就比较有意思了,不过照发不误。

  11. 2013-04-11 21:18 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    坐等证书 哈哈 说实话我也不敢相信居然会出现这么低级的漏洞 @cncert国家互联网应急中心

  12. 2013-04-11 21:31 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @VIP 没有啊,www.cnvd.org.cn

  13. 2013-04-11 21:34 | 虫子 ( 路人 | Rank:5 漏洞数:1 | 小弟也是大学生)

    搞基

  14. 2013-04-11 21:34 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @小胖子 刚才估计升级版本呢,

  15. 2013-04-12 00:13 | noah ( 普通白帽子 | Rank:384 漏洞数:40 )

    刷证书来了!

  16. 2013-04-12 08:00 | etcat ( 普通白帽子 | Rank:149 漏洞数:22 | 0101010101001010101010101010100101010101...)

    洞主无敌,cnvd会不会给你发一个未修复的漏洞作为礼物,期待啊~~~~~~

  17. 2013-04-12 08:52 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    @cncert国家互联网应急中心 发证书时间要多长的啊?

  18. 2013-04-12 22:05 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    各位别抢啊 我需要证书大家先别挖了 让我来

  19. 2013-05-12 18:57 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    “似乎有人守着” 哈哈 亮了 我想说这管理是敬业呢还是敬业呢还是敬业呢。。。

  20. 2013-05-14 19:09 | Vigoss_Z ( 普通白帽子 | Rank:404 漏洞数:63 | 楞娃)

    @cncert国家互联网应急中心 演得hao!

  21. 2013-05-26 21:24 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    好吧...之前就发现这个了,只不过不能利用..500,不是404

  22. 2013-05-30 10:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    这个也发证书,给力了。