漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0145826
漏洞标题:钢之家任意文件读取
相关厂商:钢之家
漏洞作者: 路人甲
提交时间:2015-10-10 16:53
修复时间:2015-11-24 16:54
公开时间:2015-11-24 16:54
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
钢之家,即钢厂、经销商、终端用户等专业网站,是一家立足于钢铁行业,为国内外钢厂、经销商、终端用户、相关行业及研究机构提供信息资讯的钢铁专业网站,由上海钢之家信息科技有限公司投资。
详细说明:
code地址:
漏洞证明:
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news: uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin distcache:x:94:94:Distcache:/:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin pcap:x:77:77::/var/arpwatch:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin avahi:x:70:70:Avahi daemon:/:/sbin/nologin rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin named:x:25:25:Named:/var/named:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin squid:x:23:23::/var/spool/squid:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin avahi-autoipd:x:100:156:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin llh:x:503:48::/home/llh:/bin/bash mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash vpopmail:x:889:889:Vpopmail User:/home/vpopmail:/bin/bash qmaill:x:803:801:qmail logger:/var/qmail:/sbin/nologin alias:x:801:801:qmail alias:/var/qmail/alias:/sbin/nologin qmaild:x:802:801:qmail daemon:/var/qmail:/sbin/nologin qmailp:x:804:801:qmail passwd:/var/qmail:/sbin/nologin qmailq:x:805:802:qmail queue:/var/qmail:/sbin/nologin qmailr:x:806:802:qmail remote:/var/qmail:/sbin/nologin qmails:x:807:802:qmail send:/var/qmail:/sbin/nologin clamav:x:846:846:Clam AntiVirus:/tmp:/sbin/nologin yiyun:x:890:890::/home/yiyun:/bin/bash wuwx:x:891:891::/home/wuwx:/bin/bash qscand:x:892:893::/home/qscand:/bin/bash
修复方案:
加强过滤啊
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝