当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038477

漏洞标题:全国范围天地图公共服务平台存在通用型远程代码执行漏洞

相关厂商:国家测绘地理信息局

漏洞作者: 淡漠天空

提交时间:2013-09-28 22:18

修复时间:2013-12-27 22:19

公开时间:2013-12-27 22:19

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-10-03: 厂商已经确认,细节仅向厂商公开
2013-10-06: 细节向第三方安全合作伙伴开放
2013-11-27: 细节向核心白帽子及相关领域专家公开
2013-12-07: 细节向普通白帽子公开
2013-12-17: 细节向实习白帽子公开
2013-12-27: 细节向公众公开

简要描述:

版本通杀。。。

详细说明:

网络实例
http://www.csmap.gov.cn/iportal/iportalIndex.action
http://www.mapjs.com.cn/indexopen.action
http://zbgtj.gov.cn/iportal/iportalIndex.action
http://www.shanghai-map.net:8080/shmap/randimg2.action
http://www.xzmap.gov.cn/indexopen.action
....很多 上百了
搜索特征
baidu:天地图
baidu:inurl:indexopen.action
爬行目录
assist maintain preview
http报文主动巡检
<div class="sub_nav_bg">
<span class="sub_nav_icon sub_nav_font">&nbsp;您的位置:<a
href="/index/../indexopen.action">首页</a>>><a
href="login.jsp">用户登录</a>
</span>
应用范围
全国各省市部署的天地图公共服务平台

漏洞证明:

1.jpg

11.jpg

2.jpg

21.jpg

32.jpg

修复方案:

版权声明:转载请注明来源 淡漠天空@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-10-03 01:19

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-29 11:36 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    有木有奖励

  2. 2013-09-30 08:35 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @wefgod 有,要手上的还是脚上的

  3. 2013-09-30 08:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Leon 擦……其实我问洞主……

  4. 2013-09-30 09:26 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @wefgod 嘎嘎

  5. 2013-10-04 12:16 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    天地图有人用么?

  6. 2013-10-23 17:42 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    struts?thinkphp?

  7. 2013-12-28 07:46 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    没听过这地图,涨姿势了