淘题吧某服务器未授权访问导致可上传后门文件

漏洞概要

缺陷编号:WooYun-2015-098106

漏洞标题:淘题吧某服务器未授权访问导致可上传后门文件

相关厂商:淘题吧

漏洞作者:路人甲

提交时间:2015-02-24 10:40

公开时间:2015-04-13 16:58

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-02-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘题吧某服务器未授权访问

详细说明:

rsync未授权访问,服务器ip为202.75.218.204,可上传文件挂马,可脱库,源码中Web.Config含数据库配置信息未授权访问:

菜刀连之,需要绑定hosts,202.75.218.204 www.taotiba.com

验证时上传了addauth.asp和addauth.aspx,aspx文件不可用,麻烦验证后帮忙都清理下~

漏洞证明:

如上

修复方案:

添加访问权限

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价