当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163343

漏洞标题:鼎新電腦某重要系统java反序列化漏洞(臺灣地區)

相关厂商:鼎新電腦

漏洞作者: 路人甲

提交时间:2015-12-22 11:42

修复时间:2016-02-07 17:56

公开时间:2016-02-07 17:56

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-22: 细节已通知厂商并且等待厂商处理中
2015-12-24: 厂商已经确认,细节仅向厂商公开
2016-01-03: 细节向核心白帽子及相关领域专家公开
2016-01-13: 细节向普通白帽子公开
2016-01-23: 细节向实习白帽子公开
2016-02-07: 细节向公众公开

简要描述:

java反序列化

详细说明:

鼎新電腦公司成立迄今三十餘年,員工人數1800多人,累積客戶50,000家以上,台灣公開發行以上公司更有近70%的標竿企業為鼎新的客戶。自成立以來,以「創新」、「尊重」、「專業」的經營理念,針對產業、企業的不同階段發展,不斷轉型、創新,運用最新資訊技術結合經營管理典範,持續提供企業e化的多樣性服務,滿足客戶各階段成長的需求。除了立足台灣外,自2002年起與神州數碼合資成立神州數碼管理系統公司,2008年整合成立鼎捷集團控股公司,2009年神州數碼管理系統有限公司正式更名為鼎捷軟件有限公司,服務據點遍及中國大陸主要各省分與城市, 2014年1月,鼎捷軟件股份有限公司<股票代碼300378>在深圳交易所創業板正式開始掛牌上市,公司跨入全新發展階段。2008年開始更是開始於越南設點,跨足東南亞市場,2014年與Cheng & Co合資成立DSC Consulting Sdn. Bhd.,邁向國際化的經營,將是鼎新未來的發展方向。
问题系统:**.**.**.**/NaNaWeb/GP//ForwardIndex;jsessionid=7572FDAF11C6C209724E690BD0DCE8E2?hdnMethod=findIndexForward

twdx.png


任意命令执行:

twdx1.png


成功添加管理员账号:

twdx2.png


影响其他主机安全

twxd3.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-12-24 18:28

厂商回复:

感謝通報

最新状态:

暂无


漏洞评价:

评价