[公开漏洞]多牛网存在任意上传漏洞可被获取webshell(敏感站点涉及涉及金融交易)

    来源:WooYun 浏览:854次 时间:2014-06-19
多牛网存在任意上传漏洞可被获取webshell(敏感站点涉及涉及金融交易) 相关厂商: 多牛网 漏洞作者:dave 提交时间:2014-05-05 11:58 公开时间:2014-06-19 11:59 漏洞类型:文件上传导致任意代码执行 危害等级:中 自评Rank:10 漏洞状态: 未联系到厂商或者厂商积极忽略 漏洞来源:http://www.wooyun.org Tags标签: 任意文件上传 任意文件上传 漏洞详情 披露状态:

2014-05-05:积极联系厂商并且等待厂商认领中,细节不对外公开
2014-06-19:厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多牛网 任意上传漏洞 涉及RMB交易

详细说明:

多牛网 上传头像处 服务端没有过滤



导致任意上传文件

漏洞证明:

1.jpg





2.jpg





修复方案:

JS过滤只是YY 服务端过滤才是XXOO...



你懂得

版权声明:转载请注明来源 dave@乌云 漏洞回应 厂商回应:

未能联系到厂商或者厂商积极拒绝

上一篇: [公开漏洞]新浪微博OAuth平台redirect_uri过滤不严可能导致用户信息遭窃取
下一篇: [公开漏洞]安全狗某服务存在漏洞可直接重启用户服务器(服务器云控制安全隐患)
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细