当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023924

漏洞标题:网站漏洞导致入侵获得webshell

相关厂商:theskinfoodchina.cn

漏洞作者: 紫藤居士

提交时间:2013-05-17 14:56

修复时间:2013-07-01 14:56

公开时间:2013-07-01 14:56

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-17: 厂商已经确认,细节仅向厂商公开
2013-05-27: 细节向核心白帽子及相关领域专家公开
2013-06-06: 细节向普通白帽子公开
2013-06-16: 细节向实习白帽子公开
2013-07-01: 细节向公众公开

简要描述:

思亲肤网站漏洞导致获得webshell

详细说明:

http://www.theskinfoodchina.cn
思亲肤官方网站使用易想商城的代码修改而来,存在FCK漏洞,可直接上传aspx马到网站根目录,从而获取到webshell。因为是个在线商城,后台数据泄露也很严重,商城会员二十多万,免邮券,订单号,发货单号,收货信息,各类营销数据都一览无遗啊,被利用起来危害很严重,sql是内网sa权限,看到数据怕怕未敢继续渗透。真没想到公司安全问题这么严重啊,希望能够重视安全。

漏洞证明:

6.jpg

5.jpg

4.jpg

3.jpg

2.jpg

1.jpg

修复方案:

升级fck编辑器,修改后台默认路径,sql请勿使用sa账号。顺便求个活动上的那种化妆品套装一份送老婆(奔着这个套装才看网站的O(∩_∩)O~)

版权声明:转载请注明来源 紫藤居士@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-05-17 16:03

厂商回复:

感谢wooyun 提供信息。
漏洞正在修补。
您的留言已经发送给 skinfod 换妆品公司。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-17 16:32 | 上海哎哟网络科技有限公司(乌云厂商)

    感谢 路人甲 。 gael365@aiyonet.com 我的邮箱skinfood想发 给您一个礼物。

  2. 2013-05-17 19:06 | 紫藤居士 ( 实习白帽子 | Rank:43 漏洞数:8 | 我是来向大神们学习的)

    @上海哎哟网络科技有限公司 不知道是不是SKINFOOD正装化妆品啊?O(∩_∩)O~本来是奔着官网活动奖品去的,已发送邮件给您

  3. 2013-05-18 13:50 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    @上海哎哟网络科技有限公司 ...怎么你们官网地址打不开?