起风网|
详细说明:#1.仔细研究发现存在一个编辑器存在任意文件上传可导致批量Getshell,影响危害极大。 厂商: http://www.1caitong.com/ 北京网达信联科技发展有限公司 #2.Getshell漏洞。 /ftb.imagegallery.aspx 可以直接上传asp文件
【声明以下案例仅供CNCERT、CNVD复现测,其它人不得利用或使用其恶意破坏,否则后果自负!】 #3.案例测试: http://eps.gfgt.com/ftb.imagegallery.aspx
http://eps.lomon.com:8008/ftb.imagegallery.aspx
http://ebid.rsm.com.cn:88/ftb.imagegallery.aspx
http://eps.hjgrp.com/ftb.imagegallery.aspx
http://www.bidding-mro.com/ftb.imagegallery.aspx
修复方案:以上均未近一步测试,shell已经全部删除,点到为止,感谢你的支持与理解!请国家互联网应急中心通报给厂商尽快修复把~ |
-
上一篇: 某教育培训机构网站cms#SQL注入#储存型xss – 网站安
下一篇: 慧琳主机系统API漏洞可导致明文密码脱库 – 网站
评论前必须登录!
立即登录