背景不做介绍 集思鹏jspcms存在数据库注入 漏洞,很直接 该cms系统在江苏省各大高校中普遍应用 测试了部分站点,60%都存在问题 目前存在多个版本,v4.0及以上版本存在此注入,v4.0以下版本注入不成功,但肯定还有别的注入,未做深入测试。 plugin/download. jsp?for_key=  目前测试的几个站,都开启了3306端口,可以爆 mysql root密码,然后远程管理 jspcms后台可以传文件,直接上shell 修复方案: /web/plugin/download.jsp 出现漏洞的是这个页面,厂商应该比我清楚怎么修复,这里就不罗嗦了 |
-
上一篇: Jboss远程代码执行漏洞CVE:2013-4810获得system权限
下一篇: 中国联通wo用户密码重置 - 网站安全 - 自学php
还没有人抢沙发呢~