当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058461

漏洞标题:京东某站点命令执行(发现已有大侠留下的shell了)

相关厂商:京东商城

漏洞作者: PgHook

提交时间:2014-04-25 17:49

修复时间:2014-04-25 18:05

公开时间:2014-04-25 18:05

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-25: 细节已通知厂商并且等待厂商处理中
2014-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

出来透透气

详细说明:

漏洞站点:http://42.96.167.239/product!index.action?id=307526

aa.jpg


漏洞页面:http://42.96.167.239/product!index.action
shell页面:http://42.96.167.239/guige.jsp

ZX3L{Z009%BW8CH5PU[R%WS.jpg

漏洞证明:

shell页面:http://42.96.167.239/guige.jsp

ZX3L{Z009%BW8CH5PU[R%WS.jpg


QQ图片20140425174412.jpg

修复方案:

....

版权声明:转载请注明来源 PgHook@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-25 18:05

厂商回复:

此为M商城,和京东没有任何关系,请乌云加强审核,多谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-04-25 17:52 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    大神出关了,拿京东透气。

  2. 2014-04-25 18:07 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    请乌云加强审核,多谢

  3. 2014-04-25 18:09 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    洞主是怎么发现这个ip和京东关联在一起的?

  4. 2014-04-25 18:22 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    不是京东的吧,哪有手机的!京东是购物又不是买手机的!

  5. 2014-04-25 18:27 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    鬼哥

  6. 2014-04-25 18:39 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    偏了

  7. 2014-04-25 20:54 | 暗影侠客 ( 路人 | Rank:4 漏洞数:5 | xss,inject,ctrf)

    洞主,你把哥吓一跳,你真逗。。。。

  8. 2014-04-25 23:50 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)

    逗比.

  9. 2014-04-26 11:07 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    很抱歉,既然你们已经判断说不是,那就肯定是我的疏忽了,我是在首页的源码里面看到了下面这个,才判断是京东的。我相信wooyun审核的同学也许也是看到了这里,才给通过的。如果说真的不是的话,我也只能在这里说句抱歉了。<title> M商城触屏版</title><meta name="author" content="m.360buy.com">