惠普某数据管理系统Struts2命令执行已成马场(涉及数十万用户信息)

漏洞概要

缺陷编号:WooYun-2015-0123334

漏洞标题:惠普某数据管理系统Struts2命令执行已成马场(涉及数十万用户信息)

相关厂商:惠普

漏洞作者:几何黑店

提交时间:2015-06-28 21:40

公开时间:2015-06-30 04:36

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-06-28: 细节已通知厂商并且等待厂商处理中
2015-06-30: 厂商已经确认,细节仅向厂商公开
2015-06-30: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

惠普某数据管理系统Struts2命令执行已成马场(涉及数十万用户信息)

详细说明:

经过百度搜索其他二级域名确认确实是属于惠普的系统http://www.qimingzhongheng.com/hprp/usr/login.action

发现有前人传的马

漏洞证明:

大量代理商和渠道的公司信息还包括了最终用户的大量信息每个Excel文档最少都有200多名用户,多的有上千,大概有几百份这样的用户文档,还不包括代理商和渠道的信息文档.

修复方案:

你懂的

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-06-3002:02

厂商回复:

Thank you for the report, we are evaluating this report and fix this as soon as possible.

最新状态:

2015-06-30:This is not Hewlett Packard.

The issue is still open please contact the correct company.

评价

  1. 2010-01-01 00:00 今生赌你 白帽子 | Rank:0 漏洞数:0)

    牛哦

  2. 2010-01-01 00:00 暗香疏影 白帽子 | Rank:0 漏洞数:0)

    妈蛋,看不懂回复

  3. 2010-01-01 00:00 动感超人 白帽子 | Rank:31 漏洞数:3)

    厂商回复好感人

  4. 2010-01-01 00:00 kav 白帽子 | Rank:0 漏洞数:2)

    厂商回复好感人

  5. 2010-01-01 00:00 蓝色天空 白帽子 | Rank:0 漏洞数:0)

    这个程序是什么呢.感觉比K8的那个强多啦

  6. 2010-01-01 00:00 Stardustsky 白帽子 | Rank:0 漏洞数:0)

    惠普说不是他们公司的问题

  7. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    我总是看不懂……

  8. 2010-01-01 00:00 Mark 白帽子 | Rank:38 漏洞数:3)

    厂商回复好屌

  9. 2010-01-01 00:00 diskring 白帽子 | Rank:0 漏洞数:0)

    What are you talking about JB

  10. 2010-01-01 00:00 Valley 白帽子 | Rank:0 漏洞数:0)

    @ 蓝色天空 Struts2Exp,Java码的

  11. 2010-01-01 00:00 Huanghousec 白帽子 | Rank:0 漏洞数:0)

    @ 蓝色天空 终极版STRUTS2利用工具。JAVA环境

  12. 2010-01-01 00:00 尊-折戟 白帽子 | Rank:30 漏洞数:2)

    很明显,厂商要的就是能精通英语的人才!