漏洞概要
关注数(24)
关注此漏洞
漏洞标题:iKuai8 爱快软路由后台构造页面执行任意Linux命令
提交时间:2015-06-18 21:51
修复时间:2015-09-17 10:06
公开时间:2015-09-17 10:06
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-19: 厂商已经确认,细节仅向厂商公开
2015-06-22: 细节向第三方安全合作伙伴开放
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开
简要描述:
可以对它做爱做的事。
详细说明:
漏洞证明:
具体看视频吧。上传到百度云了:【http://pan.baidu.com/s/1sjG8pp7】
构造的页面。
修复方案:
修改一下网页代码,加几个if,最重要的是把“&”“|”屏蔽掉。
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-06-19 10:04
厂商回复:
一早上起来就开始处理,经过同事的确认,的确可以在有web密码的情况下进入系统,对用户并无显著危害,对我们自己的确有一些隐患,非常感谢白帽子兄弟提交漏洞,让我们的产品越来越完善,曾经在2013年和2014年,大量的白帽子帮助我们提交漏洞,让我们的产品在安全方面有一个很大的提升,也感谢乌云提供了这么好的一个平台,等我们公司赚钱了,一定表达更实在的谢意
最新状态:
暂无
漏洞评价:
评论
-
2015-06-19 07:37 |
Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)
-
已经转交给技术部门的同事确认,稍晚会来做正式的漏洞回应,非常感谢白帽子兄弟提交漏洞,让我们一个免费的产品越来越完善,代表一家小的创业公司的兄弟们感谢您
-
由于小公司没啥钱,送楼主一件我们公司的T恤吧,@theMoon 给我下地址
-
2015-06-19 12:15 |
Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)
@爱快免费流控路由 不错啊。。我还知道你们产品好多个洞。。
-
2015-06-19 17:27 |
theMoon ( 路人 | Rank:5 漏洞数:1 | 点击编辑个人简介)
-
-
@Bear baby 感谢感谢,可以留个联系方式联系么,我的QQ是1808663661,随时加我,麻烦注明下白帽子,也感谢乌云平台让我们系统更安全
-
2015-06-22 00:43 |
Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)
@爱快免费流控路由 过几天会提交,你到时候先关注下看看。。
-
2015-06-23 12:19 |
疯狂 ( 普通白帽子 | Rank:239 漏洞数:29 | 桃李春风一杯酒莲湖夜雨八年灯)
-
2015-06-24 00:24 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2015-06-24 01:08 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@疯狂 你有啥可笑的呢?人家有诚意就行,你管人家送多少钱的吗
-
2015-06-24 09:37 |
CplusHua ( 普通白帽子 | Rank:238 漏洞数:10 | 乌云奖金:-1)
-
2015-06-24 10:42 |
Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)
@爱快免费流控路由 老板,出新东西了。。快出来看看。。嘻嘻···
-
2015-09-17 11:17 |
NeverEnd ( 路人 | 还没有发布任何漏洞 | hack)
