酷6网服务器统一管理平台源码泄露(进而引发命令执行漏洞)

漏洞概要

缺陷编号:WooYun-2014-088879

漏洞标题:酷6网服务器统一管理平台源码泄露(进而引发命令执行漏洞)

相关厂商:酷6网

漏洞作者:路人甲

提交时间:2014-12-27 02:00

公开时间:2015-01-01 02:02

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2014-12-27: 细节已通知厂商并且等待厂商处理中
2014-12-27: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-01-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

酷6网服务器统一管理平台源码泄露(进而引发命令执行漏洞)

详细说明:

可直接下载整站源码http://fixedassets.ku6.cn/.svn/entries

进行源码分析发现这是一台非常敏感的服务器,配置服务器用的

#3 某附件直接存放了生产服务器的密码

http://fixedassets.ku6.cn/config_check_list.php 各种敏感信息

# 代码执行漏洞在这里CdnDeleveMdfy.php

传入 reload=1 & cdnid=99999"|pwd 就执行命令了

漏洞证明:

修复方案:

更改配置

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-0102:02

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  • N/A