漏洞概要
关注数(24 )
关注此漏洞
漏洞标题:AOL Website XML External Entity(XXE) Vulnerability
提交时间:2015-10-23 01:33
修复时间:2015-12-11 00:18
公开时间:2015-12-11 00:18
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情 披露状态:
2015-10-23: 细节已通知厂商并且等待厂商处理中
简要描述: When processing a POST request body containing XML, the XML parser can be instructed to read content from network and local file resources accessible to the host
详细说明: #1 xmlrpc service
http://dbr-bulk-shared-b-atc.evip.aol.com/xmlrpc
漏洞证明: #2 exploit
POST
root:x:0:0:root:/root:/bin/bash
修复方案:
http://www.vsecurity.com/download/publications/XMLDTDEntityAttacks.pdf
版权声明:转载请注明来源 猪猪侠 @乌云
漏洞回应 厂商回应: 危害等级:高
漏洞Rank:20
确认时间:2015-10-27 00:16
厂商回复:
最新状态: 2015-12-10:Please do not publicly release this vulnerability, as it contains confidential data.
漏洞评价:
评论
2015-10-23 01:37 |
zeracker ( 核心白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)
2015-10-23 01:39 |
Azazel ( 实习白帽子 | Rank:38 漏洞数:8 | 别威胁哥,哥不是好惹的)
2015-10-23 01:47 |
李旭敏 ( 普通白帽子 | Rank:578 漏洞数:88 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)
2015-10-23 01:51 |
超威蓝猫 ( 核心白帽子 | Rank:1102 漏洞数:118 | STEAM_0:0:55968383)
2015-10-23 02:11 |
bobbi ( 路人 | Rank:22 漏洞数:8 | 我没什么爱好 平时就爱撸撸管 看看AV)
2015-10-23 08:36 |
Coody ( 核心白帽子 | Rank:1697 漏洞数:202 | 不接单、不黑产;如遇接单收徒、绝非本人所...)
2015-10-23 08:40 |
哲璇 ( 普通白帽子 | Rank:214 漏洞数:39 | 低调奢华)
qi shi zhong wen geng diao
2015-10-23 08:45 |
zhiher ( 路人 | Rank:16 漏洞数:4 )
2015-10-23 08:51 |
hecate ( 普通白帽子 | Rank:569 漏洞数:89 | ®高级安全工程师 | WooYun认证√)
2015-10-23 08:53 |
DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)
2015-10-23 08:58 |
king7 ( 普通白帽子 | Rank:634 漏洞数:119 | 收WB~~1:7手续费协商,个位数到三位数量都...)
2015-10-23 09:24 |
DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)
@king7 卧槽 我是字母随意组合的,是英文??什么意思啊
2015-10-23 09:24 |
酷帥王子 ( 普通白帽子 | Rank:118 漏洞数:36 | 天朗日清,和风送闲,可叹那俊逸如我顾影自...)
2015-10-23 10:09 |
luwikes ( 普通白帽子 | Rank:522 漏洞数:78 | 潜心学习~~~)
2015-10-23 10:22 |
猪猪侠 ( 核心白帽子 | Rank:3650 漏洞数:282 | 你都有那么多超级棒棒糖了,还要自由干吗?)
2015-10-23 11:15 |
雷少 ( 实习白帽子 | Rank:73 漏洞数:31 | 热爱网络的爱好者,需求同道中人。)
2015-10-23 11:31 |
佳佳佳佳佳 ( 路人 | Rank:23 漏洞数:5 | I want to be ur sunshine.)
好害怕漏洞详情公开以后也是全英文的...本来技术部分就看不懂了,结果描述部分也看不懂,好难过
2015-10-23 11:47 |
90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)
本来技术部分就看不懂了,结果描述部分也看不懂,好难过
2015-10-23 13:41 |
Annabelle ( 实习白帽子 | Rank:56 漏洞数:17 | .)
好害怕漏洞详情公开以后也是全英文的...本来技术部分就看不懂了,结果描述部分也看不懂,好难过
2015-10-23 17:40 |
Q1NG ( 普通白帽子 | Rank:111 漏洞数:21 | 临 兵 斗 者 皆 阵 列 前 行 !)
2015-10-23 18:32 |
大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)
2015-10-23 22:10 |
咚咚呛 ( 普通白帽子 | Rank:116 漏洞数:10 | 我是一只小毛驴咿呀咿呀呦~~)
2015-10-24 16:43 |
Jumbo ( 普通白帽子 | Rank:115 漏洞数:30 | 猫 - http://www.chinabaiker.com)
好害怕漏洞详情公开以后也是全英文的...本来技术部分就看不懂了,结果描述部分也看不懂,好难过
2015-10-25 11:00 |
un10ad ( 路人 | Rank:6 漏洞数:2 | ///)
好害怕漏洞详情公开以后也是全英文的...本来技术部分就看不懂了,结果描述部分也看不懂,好难过
2015-10-27 07:01 |
苍冥 ( 路人 | Rank:12 漏洞数:3 | 於人曰浩然 沛乎塞蒼冥)
Me english no no, if you BB in english, me will give you some colour to see see.
2015-10-27 07:01 |
苍冥 ( 路人 | Rank:12 漏洞数:3 | 於人曰浩然 沛乎塞蒼冥)
Me english no no, if you BB in english, me will give you some colour to see see.
2015-10-27 07:32 |
ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)
Good afraid of the details of the vulnerability of the public after the full English,Part of the technology is not understood, the results do not understand the part of the description, so sad
( 核心白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)