日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

漏洞概要  

缺陷編號(hào)： WooYun-2013-33412

漏洞標(biāo)題： 阿里旺旺的一個(gè)遠(yuǎn)程任意代碼執(zhí)行漏洞(發(fā)送消息即中)

相關(guān)廠商： 淘寶網(wǎng)

漏洞作者： fuck360

提交時(shí)間： 2013-08-03 17:41

公開時(shí)間： 2013-11-01 17:42

漏洞類型： 遠(yuǎn)程代碼執(zhí)行

危害等級(jí)： 高

自評(píng)Rank： 10

漏洞狀態(tài)： 廠商已經(jīng)確認(rèn)

漏洞來源： http://www.wooyun.org

Tags標(biāo)簽： 遠(yuǎn)程代碼執(zhí)行 客戶端安全

漏洞詳情

披露狀態(tài)：

2013-08-03： 細(xì)節(jié)已通知廠商并且等待廠商處理中

2013-08-05： 廠商已經(jīng)確認(rèn)，細(xì)節(jié)僅向廠商公開

2013-08-08： 細(xì)節(jié)向第三方安全合作伙伴開放

2013-08-15： 細(xì)節(jié)向核心白帽子及相關(guān)領(lǐng)域?qū)＜夜_

2013-08-25： 細(xì)節(jié)向普通白帽子公開

2013-09-14： 細(xì)節(jié)向?qū)嵙?xí)白帽子公開

2013-11-01： 細(xì)節(jié)向公眾公開

簡要描述：

阿里旺旺遠(yuǎn)程傳文件跨目錄漏洞，可以傳dll或exe到其他目錄，導(dǎo)致命令執(zhí)行(無需互交，直接發(fā)送消息即可)。

詳細(xì)說明：

本漏洞為發(fā)送文件的時(shí)候可以寫到對(duì)方任意目錄，攻擊者可直接將惡意文件寫入其他位置，導(dǎo)致任意代碼執(zhí)行，影響最新版本阿里旺旺(7.21.04C)，賣家版同樣受影響。

同時(shí)程序內(nèi)部雖有安全檢查，如過濾危險(xiǎn)后綴名，但可以被攻擊者繞過，以做到不需要用戶交互即可觸發(fā)，只需發(fā)送消息即可。

漏洞證明：

可指定要發(fā)送的文件名

點(diǎn)擊確認(rèn)按鈕，數(shù)秒鐘后對(duì)方目錄下會(huì)發(fā)現(xiàn)發(fā)送成功的文件：

漏洞回應(yīng)

廠商回應(yīng)：

危害等級(jí)：高

漏洞Rank：15

確認(rèn)時(shí)間：2013-08-05 11:13

廠商回復(fù)：

感謝你對(duì)我們的支持與關(guān)注，該問題我們正在修復(fù)中~~

最新狀態(tài)：

暫無

網(wǎng)頁題目：烏云: 阿里旺旺的遠(yuǎn)程任意代碼執(zhí)行漏洞(發(fā)送消息即中)
本文網(wǎng)址：http://www.dlmjj.cn/article/dpgcdis.html