当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148389

漏洞标题:中央美术学某分站命令执行漏洞一枚

相关厂商:中央美术学院

漏洞作者: Brick713

提交时间:2015-10-22 15:04

修复时间:2015-10-27 15:06

公开时间:2015-10-27 15:06

漏洞类型:系统/服务补丁不及时

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-22: 细节已通知厂商并且等待厂商处理中
2015-10-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可shell

详细说明:

http://**.**.**.**/WFManager/loginAction_getCheckCodeImg.action
直接上K8检测传马。

QQ图片20151021160149.png


QQ图片20151021160135.jpg


web路径没法直接上传,先传上/tmp 然后mv过去 。
最后上菜刀

QQ图片20151021160135.jpg


QQ截图20151021160554.png

漏洞证明:

马传在/usr/local/tomcat/webapps/logs/a.jsp

E_E2O9@(36}2OR}L@49APW3.png

修复方案:

打补丁

版权声明:转载请注明来源 Brick713@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-27 15:06

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-22 15:54 | 小彭丁满 ( 路人 | Rank:20 漏洞数:1 | ส้้้้้้้้้้้้้้้้้้้...)

    你们搞的这个shell啊,excited!

  2. 2015-10-27 16:13 | Brick713 ( 路人 | Rank:0 漏洞数:3 | 擅长围观各种漏洞,我就看看,偷摸试试。)

    。。。。这都无影响忽略了?