当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-047568

漏洞标题:蜘蛛网主站命令执行导致沦陷

相关厂商:spider.com.cn

漏洞作者: w5r2

提交时间:2014-01-14 10:27

修复时间:2014-02-28 10:27

公开时间:2014-02-28 10:27

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-14: 细节已通知厂商并且等待厂商处理中
2014-01-17: 厂商已经确认,细节仅向厂商公开
2014-01-27: 细节向核心白帽子及相关领域专家公开
2014-02-06: 细节向普通白帽子公开
2014-02-16: 细节向实习白帽子公开
2014-02-28: 细节向公众公开

简要描述:

服务器组件未验证导致服务沦陷,渗透到邮箱系统,敏感资料泄漏。
蜘蛛网( www.spider.com.cn )是中国最大最具影响力的报刊网络发行机构。蜘蛛网所属上海万丰文化传播公司成立于2005年3月,注册资本1200万元。总部位于上海,在北京、广州、南京、长沙、合肥、杭州、南昌、武汉等地设有分(子)公司,在 美国、 加拿大、英国、 法国、新加坡、中国台湾等地设有代理人。2008年5月,蜘蛛网获得中国发行行业首笔大额风险融资。是中国最大、最具影响力的报刊网络发行机构和文化e站,商品涵盖报刊、图书、演出与电影票、礼品、艺术品等各大类文化产品,其中报刊、演艺票务等业务居于全国同行业领先地位。

详细说明:

#jboss引起的问题。让我们看图吧。


1.png


系统版本

获知 账号 密码 admin/fuckadmin


2.png


3.png


4.png


直接充点话费?


5.png


根据后台数据 渗透邮箱


6.png


7.png


8.png


9.png


10.png


系统基本都拿下了,不发图了。管理员好好修复漏洞。

漏洞证明:

如上
修复下 木马路径

D:\JB4\server\default\tmp\deploy\

修复方案:

jboss修复下。管理员及时修复该漏洞,可造成话费充值、报刊订阅、电影票以及车票订购!

版权声明:转载请注明来源 w5r2@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-01-17 09:50

厂商回复:

此漏洞会造成企业大量数量泄露,造成损失。
目前已经找到问题并修复,请确认。
再次表示感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-01-20 20:23 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    st2的