漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中华人民共和国商务部某系统的一个任意命令执行
提交时间:2013-05-17 12:31
修复时间:2013-05-22 12:32
公开时间:2013-05-22 12:32
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-05-17: 细节已通知厂商并且等待厂商处理中
2013-05-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
商务部网站存在任意命令执行漏洞
详细说明:
struts2内置私有变量class.classLoader.jarPath的set方法在变量赋值时会执行ognl表达式,借助OGNL表达式特性执行任意命令
漏洞证明:
POC :
ROOT权限
修复方案:
1. 升级struts2到2.3.1.12以上版本
2. 过滤危险参数
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-05-22 12:32
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
2013-05-22:汗,我记得已经确认了。也许是浏览器会话过期了,没确认成功。21日前未直接联系上商务部信息化管理部门,已在21日已经转由CNCERT协调商务部所属中国国际电子商务中心,由其联系网站管理方处置。22日,对方反馈已经完成处置,22日晚上测试确认已经修复。
漏洞评价:
评论
-
2013-05-22 15:48 |
feng ( 普通白帽子 | Rank:664 漏洞数:70 | 想刷个6D)
-
2013-05-22 16:51 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
@cnvd 肿么忽略了?? @xsser 肿么忽略了??? @cncert国家互联网应急中心 怎么就无影响 厂商忽略了????
-
2013-05-22 17:05 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
@cncert国家互联网应急中心 @cnvd @xsser 已经404了 系统下线修补中吗?
-
2013-05-22 17:11 |
x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
@cncert国家互联网应急中心 @xsser 晕 , 系统上线了. 果然是在修补了啊.我的RANK啊!!! 何时才能到白帽子啊??????
