漏洞概要
关注数(24)
关注此漏洞
漏洞标题:如家快捷酒店编辑器存在弱口令可获取主站权限
漏洞作者: 左手
提交时间:2013-06-23 11:48
修复时间:2013-08-07 11:49
公开时间:2013-08-07 11:49
漏洞类型:服务弱口令
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2013-06-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
编辑器存在弱口令,导致可拿shell,默认路径未修改,默认帐号密码弱口令
详细说明:
编辑器存在弱口令,导致可拿shell,默认路径未修改,默认帐号密码弱口令
漏洞证明:
默认路径 如下:
弱口令
成功进入后台:
shell:
修复方案:
1、编辑器默认路径进行修改
2、修改弱口令
3、目录执行权限
4、请官方尽快修补
版权声明:转载请注明来源 左手@乌云
漏洞回应
漏洞评价:
评论
-
2013-06-23 18:53 |
0x00de ( 路人 | Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)
-
2013-06-23 20:35 |
Jesus ( 实习白帽子 | Rank:60 漏洞数:18 | 天地不仁,以万物为刍狗!)
-
2013-06-24 12:08 |
左手 ( 实习白帽子 | Rank:33 漏洞数:13 | Touch<touch@bxbsec.com>)
@0x00de 哦哦,这个我其实很早也发现了,只是没有提交。
-
2013-06-25 00:08 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
@左手 居然都发现了这个问题。asp版eweb吗。又是admin888吗……
-
2013-06-25 00:29 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
@左手 哦,不知道密码是不是已经被洞主给改了,似乎不是默认的密码
-
2013-06-25 16:13 |
左手 ( 实习白帽子 | Rank:33 漏洞数:13 | Touch<touch@bxbsec.com>)
-
2013-08-07 12:01 |
sinck ( 路人 | Rank:20 漏洞数:3 | 1)
-
2013-08-07 14:00 |
随时回来 ( 实习白帽子 | Rank:41 漏洞数:11 | 今年收成不好,喂的猪一点都没长,明早还得...)
-
2013-08-08 13:56 |
0x00de ( 路人 | Rank:8 漏洞数:6 | 一个二逼,2到家了的小白。)
-
2013-08-13 15:40 |
j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)
提交时间: 2013-06-23 11:48公开时间: 2013-08-07 11:49
-
2013-08-13 17:53 |
左手 ( 实习白帽子 | Rank:33 漏洞数:13 | Touch<touch@bxbsec.com>)
