当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057696

漏洞标题:看我沦陷暴风影音的内网

相关厂商:暴风影音

漏洞作者: jusker

提交时间:2014-04-19 01:46

修复时间:2014-04-24 01:46

公开时间:2014-04-24 01:46

漏洞类型:命令执行

危害等级:低

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-19: 细节已通知厂商并且等待厂商处理中
2014-04-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:


http://cifu.baofeng.com/index.php?controller=admin

cc.png

未授权信息

QQ截图20140306010931.png

路径源码泄露

QQ截图20140306082640.png


漏洞证明:

有几个命令执行漏洞,该删的删,该补的补

QQ截图20140309200141.png


QQ截图20140309200232.png


QQ截图20140309200414.png


QQ截图20140309203129.png


QQ截图20140311143733.png


QQ截图20140311165853.png


QQ截图20140311165915.png


QQ截图20140311165945.png


QQ截图20140311143750.png


QQ截图20140311165945.png


QQ截图20140311170004.png


QQ截图20140311170029.png


QQ截图20140311170301.png


QQ截图20140312104540.png


修复方案:

QQ截图20140312104517.png


QQ截图20140312102204.png


QQ截图20140311194158.png


QQ截图20140311194110.png


QQ截图20140311193356.png


QQ截图20140311171712.png


QQ截图20140311171602.png


QQ截图20140311170313.png


QQ截图20140311170301.png


版权声明:转载请注明来源 jusker@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-24 01:46

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-19 02:13 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    这样毫不避讳是图样图森破的表现 撸主保重

  2. 2014-04-19 02:14 | E7LE ( 路人 | Rank:0 漏洞数:1 | 好激动,这该怎么填写。。。)

    内网 好玩不,。

  3. 2014-04-19 02:35 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    关注下~有技术不怕找不到工作~~

  4. 2014-04-19 07:08 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    不虚,乌云给你点赞了o喔

  5. 2014-04-19 07:23 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    0 0

  6. 2014-04-19 08:06 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    占个地

  7. 2014-04-19 09:09 | xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)

    表示不明白你的简要描述内容~

  8. 2014-04-19 09:11 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    刺总躺枪

  9. 2014-04-19 09:52 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    刺总躺枪

  10. 2014-04-19 10:40 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    年轻人真有脾气。

  11. 2014-04-19 10:43 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    年轻人总会吃亏的,何不等到那边决定了再发,这样进退两难,但是还是赞你一个,年轻人就是做年轻人的事啊。

  12. 2014-04-19 10:45 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    都叫你和这些总搞好关系了?请个三温暖 大保健啊

  13. 2014-04-19 14:02 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    刺总躺枪

  14. 2014-04-19 14:26 | 北北 ( 路人 | Rank:25 漏洞数:5 | 广告位招租。有阿里、万网的漏洞私信给我有...)

    幼稚。

  15. 2014-04-19 14:48 | Cookies ( 路人 | Rank:24 漏洞数:14 | 一入乌云深似海,从此马甲是路人。)

    换个友链吧

  16. 2014-04-19 15:07 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    怎么沦陷的,没内容啊!

  17. 2014-04-19 15:18 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @北北 对那二货好无语。

  18. 2014-04-19 19:39 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    0 0 那个博客被删除了还是编辑了

  19. 2014-04-19 21:51 | 膜拜hym ( 路人 | Rank:15 漏洞数:2 )

    简介写的挺好的“求礼物,求工作在安全宝实习,今天貌似听到刺总对于实习生没有要转正的意思,对于我这种傻逼感觉自己太傻逼了,于是乎对于没技术的小菜的我来说,对于互联网,我是多余的渣渣,求工作,如果你们需要web安全或者开发的可以联系我,如果不需要我继续找工作呵呵,我的博客http://jusker.me,周一离开~~最后放一炮,对于我这种傻逼无可救药”

  20. 2014-04-19 23:15 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @北北 @园长 我觉得应该发安全宝的洞 是不是 发其他写这个干嘛

  21. 2014-04-20 00:14 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    年轻人怎么了?这个圈子都是你们这些大佬霸着了...不过你们没年轻过吗?

  22. 2014-04-20 00:48 | 浅音 ( 路人 | Rank:0 漏洞数:2 | 浅音sama)

    屌屌屌

  23. 2014-04-22 09:18 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  24. 2014-04-24 08:42 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)

    厂商回应:危害等级:无影响厂商忽略 暴风这是要作死的节奏

  25. 2014-04-24 09:24 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @Aepl│恋爱 看我继续搞他,日死他

  26. 2014-04-24 09:32 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

    感觉要粗大事啊

  27. 2014-04-24 14:23 | j0ck ( 实习白帽子 | Rank:45 漏洞数:5 | hello~)

    呵,这个圈子太浮躁

  28. 2014-04-25 17:11 | 橘子 ( 路人 | Rank:0 漏洞数:3 | 呢个...羞射高中生一枚。带上大神@Haswell...)

    这都无影响←_←