百度某子站点任意文件上传导致任意代码执行下载

百度某子站点任意文件上传导致任意代码执行 上传后域名非baidu.com,但跟百度脱不了关系了,估计是合作商。

http://dev.mgame.baidu.com/sign/add



百度移动游戏开放平台

上传证件处存可以上传任意文件,但上传后却是

http://ycimg.m.duoku.com/group1/M00/05/A5/CgoAMVNrex6ECRpRAAAAAOQaGIc280.php



ycimg.m.duoku.com 这个域,很可能是百度的合作商。



上传后,shell 没权限删,你们处理下吧。

修复方案:

限制上传

上一篇: [公开漏洞]腾讯某分站存储型XSS
下一篇: [公开漏洞]盛大旗下支付产品盛付通SSO存在钓鱼漏洞(可泄漏部分认证信息)
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细