详细说明:
#1.仔细研究发现存在一个编辑器存在任意文件上传可导致批量Getshell,影响危害极大。 厂商:
http://www.1caitong.com/ 北京网达信联科技发展有限公司#2.Getshell 漏洞 。
/ftb.imagegallery. asp x 可以直接上传asp文件
【声明以下案例仅供CNCERT、CNVD复现测,其它人不得利用或使用其恶意破坏,否则后果自负!】
#3.案例测试:
http://eps.gfgt.com/ftb.imagegallery.aspx
http://eps.lomon.com:8008/ftb.imagegallery.aspx
http://ebid.rsm.com.cn:88/ftb.imagegallery.aspx
http://eps.hjgrp.com/ftb.imagegallery.aspx
http://www.bidding-mro.com/ftb.imagegallery.aspx
修复方案:
以上均未近一步测试,shell已经全部删除,点到为止,感谢你的支持与理解!请国家互联网应急中心通报给厂商尽快修复把~
查看更多关于某通用型电子采购平台存在任意文件上传漏洞G的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15102