漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-034581
漏洞标题:用友软件分站漏洞集合(命令执行.svn信息泄漏.编辑器)
相关厂商:用友软件
漏洞作者: Summer
提交时间:2013-08-21 16:28
修复时间:2013-08-26 16:29
公开时间:2013-08-26 16:29
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-21: 细节已通知厂商并且等待厂商处理中
2013-08-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
关注"用友软件"一千年。。。永不放弃。。。
详细说明:
1.http://busass.chanjet.com:8080/reg/reg!regIndex.do
Struts命令执行
2.http://crm.chanjet.com/backup/.svn/
http://crm.chanjet.com/backup/lib/.svn/entries
http://crm.chanjet.com/backup/.svn/entries
http://crm.chanjet.com/account/import/.svn/entries
.svn信息泄漏,还有很多.svn泄漏的地址,贴了一部分
3.http://busass.chanjet.com:8080/fckeditor/editor/fckeditor.html 编辑器漏洞
漏洞证明:
1.http://busass.chanjet.com:8080/reg/reg!regIndex.do
Struts命令执行
2.http://crm.chanjet.com/backup/.svn/
http://crm.chanjet.com/backup/lib/.svn/entries
http://crm.chanjet.com/backup/.svn/entries
http://crm.chanjet.com/account/import/.svn/entries
.svn信息泄漏,还有很多.svn泄漏的地址,贴了一部分
3.http://busass.chanjet.com:8080/fckeditor/editor/fckeditor.html 编辑器漏洞
修复方案:
1.升级Struts
2..svn目录限制权限
3.升级编辑器版本
版权声明:转载请注明来源 Summer@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-08-26 16:29
厂商回复:
最新状态:
暂无