当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104674

漏洞标题:医脉通某站getshell造成用户信息泄露可查看会议视频

相关厂商:medlive.cn

漏洞作者: 独孤求败

提交时间:2015-04-02 11:32

修复时间:2015-05-17 12:04

公开时间:2015-05-17 12:04

漏洞类型:命令执行

危害等级:高

自评Rank:11

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-02: 厂商已经确认,细节仅向厂商公开
2015-04-12: 细节向核心白帽子及相关领域专家公开
2015-04-22: 细节向普通白帽子公开
2015-05-02: 细节向实习白帽子公开
2015-05-17: 细节向公众公开

简要描述:

医脉通某站getshell造成用户信息泄露可查看会议视频

详细说明:

医脉通某站getshell造成用户信息泄露可查看会议视频。
医脉通 - 感知世界医学脉搏,助力中国临床决策: 疾病诊疗知识库,医学信息服务,医生在线交流平台。

QQ图片20150330091954.png


漏洞地址:http://cds2010.medlive.cn/login_init.do

t017e2f4f37dc446a91.png

t0148a2e105f340070f.jpg


漏洞证明:

数据库信息泄露:

t0158fd9a1eb69acdff.jpg

t01c1f522ab23081872.jpg


可查看会议视频:

t019a506dd890dab6b7.png

修复方案:

。。。

版权声明:转载请注明来源 独孤求败@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-02 12:03

厂商回复:

十分感谢,为何给漏洞发送礼物按钮不能点击?
谢谢!

最新状态:

2015-04-02:漏洞已修复,非常感谢

漏洞评价:

评论

  1. 2015-04-02 11:42 | 独孤求败 ( 普通白帽子 | Rank:1214 漏洞数:331 )

    @medlive.cn 厂商你终于来了,求20rank?好吗,给我吧,我就差20rank换一个乌云红包呀,亲!

  2. 2015-04-02 12:13 | 独孤求败 ( 普通白帽子 | Rank:1214 漏洞数:331 )

    @medlive.cn 好了,你再发礼物看一下,谢谢了,

  3. 2015-04-02 15:30 | 医脉通(乌云厂商)

    @独孤求败 还是发不了礼物

  4. 2015-04-02 16:12 | 独孤求败 ( 普通白帽子 | Rank:1214 漏洞数:331 )

    @医脉通 好了,现在有我的地址了吧?

  5. 2015-04-03 08:58 | 医脉通(乌云厂商)

    @独孤求败 礼物已送,再次感谢!