漏洞概要 关注数(2) 关注此漏洞
缺陷编号: WooYun-2016-178722
漏洞标题: 银川某电子科技有限公司多种交易平台可getshell
相关厂商: 银川神州好易电子科技有限公司
漏洞作者: Ardor
提交时间: 2016-02-26 10:45
公开时间: 2016-04-11 10:45
漏洞类型: 系统/服务运维配置不当
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 安全意识不足 默认配置不当 安全意识不足
漏洞详情
披露状态:
2016-02-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
银川某电子科技有限公司旗下多个交易平台或云系统存在漏洞,可直接拿到webshell。
详细说明:
银川神州好易电子科技有限公司,是宁夏地区首批通过国家认定的双软企业,公司是以搭建企业大数据为基础,为传统企业提供以“互联网+”为模式的企业信息化技术解决方案的电子商务企业。
企业旗下产品都存在JBOSS的JAVA反序列化漏洞
通过检测,得到的webshell都是系统权限,可以进行内网渗透。
1. 好易智慧交易云系统
得到webshell地址:
以下不每个都拿shell了
2.企业协同办公管理系统
3.智慧交易云系统
其他产品不一一检测,列举一个已经实装的站:银川市公共资源交易诚信平台
webshell地址:
所有的shell未做深入,没有脱库,脱源码行为,望贵公司加强产品的安全性。
漏洞证明:
修复方案:
研发加个班
版权声明:转载请注明来源 Ardor@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登陆后才能进行评分
评论