当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053258

漏洞标题:车迷店网站被黑发现多个后门(已成马场)

相关厂商:车迷店

漏洞作者: new

提交时间:2014-03-13 11:39

修复时间:2014-04-27 11:40

公开时间:2014-04-27 11:40

漏洞类型:重要敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-04-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

车迷网可以查看服务器下的所有文件路径

详细说明:

该网站得所有文件路径在浏览器中都可以查看,部分文件可以下载并上传

Directory Listing For /userfiles/ - Up To /
Filename 	Size 	Last Modified
   CVS/ 	  	Tue, 28 Feb 2006 15:24:49 GMT
   CVS\index.jsp 	12.6 kb 	Thu, 31 Jan 2013 18:39:08 GMT
   adcontent/ 	  	Tue, 28 Feb 2006 15:24:58 GMT
   adcontent.rar 	5705.7 kb 	Wed, 19 Apr 2006 04:03:29 GMT
   adcontent\index.jsp/ 	  	Tue, 04 Dec 2012 09:00:43 GMT
   maf.html 	0.0 kb 	Tue, 16 Apr 2013 03:41:41 GMT
   oos/ 	  	Thu, 13 Jul 2006 02:01:37 GMT
   product/ 	  	Sat, 08 Jun 2013 16:32:41 GMT
   product\jfolder_20130218113147.jsp 	31.4 kb 	Mon, 18 Feb 2013 09:38:34 GMT
   product\py.jsp 	85.3 kb 	Wed, 27 Feb 2013 03:14:15 GMT
   wholesales/ 	  	Mon, 08 Oct 2007 08:21:01 GMT
Apache Tomcat/5.0.28

漏洞证明:

http://www.bjautofans.com/userfiles/
http://www.bjautofans.com/userfiles/product/img/20090121/editor/1232508889437.jsp

222.png

修复方案:

设置用户权限,删除浏览文件得脚本

版权声明:转载请注明来源 new@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论