tom某站存在php命令执行漏洞

漏洞概要

缺陷编号:WooYun-2012-05900

漏洞标题:tom某站存在php命令执行漏洞

相关厂商:TOM在线

漏洞作者:noid

提交时间:2012-04-09 20:13

公开时间:2012-05-24 20:13

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-09: 细节已通知厂商并且等待厂商处理中
2012-04-10: 厂商已经确认,细节仅向厂商公开
2012-04-20: 细节向核心白帽子及相关领域专家公开
2012-04-30: 细节向普通白帽子公开
2012-05-10: 细节向实习白帽子公开
2012-05-24: 细节向公众公开

简要描述:

TOM某站存在php命令执行漏洞

详细说明:

http://tuan.tom.com thinkphp代码执行漏洞具体分析可以去看社区里GaRy写的<ThinkPHP framework 任意代码执行漏洞预警>

漏洞证明:

修复方案:

更新框架程序

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-04-10 15:28

厂商回复:

谢谢

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    我勒个去 你这个扫描器太好用了

  2. 2010-01-01 00:00 noid 白帽子 | Rank:285 漏洞数:18)

    哈哈 换一个php的代码执行 节前对比补丁看到的洞 今天见GaRy写了分析 赞GaRy的共享精神 :)

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @noid 也赞你的分享精神!

  4. 2010-01-01 00:00 noid 白帽子 | Rank:285 漏洞数:18)

    @xsser 我没扫描器啊 哈哈 节前用这站测试这漏洞来着 本来也准备这两天发的

  5. 2010-01-01 00:00 xnet 白帽子 | Rank:89 漏洞数:10)

    thinkPHP?

  6. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    :) 3L的意思。

  7. 2010-01-01 00:00 Ra1nker 白帽子 | Rank:0 漏洞数:0)

    马克。

  8. 2010-01-01 00:00 疯狂 白帽子 | Rank:229 漏洞数:29)

    求扫描器啊

  9. 2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)

    老洞未补

  10. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    这rank攒的可真快!

  11. 2010-01-01 00:00 yingzi 白帽子 | Rank:38 漏洞数:3)

    @noid 感觉没必要给tom爆漏洞了, 成功的入侵事件都只给5分, 不知道什么才是危害严重= =

  12. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    @yingzi 有五点总比没有的好!

  13. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    你这个rank攒的,前排很有压力。

  14. 2010-01-01 00:00 z@cx 白帽子 | Rank:323 漏洞数:37)

    等待公布日。。。

  15. 2010-01-01 00:00 noid 白帽子 | Rank:285 漏洞数:18)

    呵呵 都是发的没水平的东西 纯攒rank 可能tom的同学觉得这系统不重要吧 没关系 明日继续 嘿嘿

  16. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    我靠,每个厂家拿40点都不得了了。

  17. 2010-01-01 00:00 Mr,prince 白帽子 | Rank:124 漏洞数:11)

    我觉得应该把TOM这些站数据全部在脱了,给他们警告。给分未免也给的太低了把。

  18. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    @noid 楼主是命令执行神呀 求指教 呵呵