神刀安全网

漏洞标题: 天音通信某销售系统Tomcat弱口令可Getshell

漏洞详情

披露状态:

2016-03-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天音移动:http://www.170.com/
天音通信发展有限公司,自1996年12月成立伊始,便以强劲的发展势头迅速崛起,现已成为中国最大规模、最具影响力的移动通信产品分销商之一。现拥有摩托罗拉、诺基亚、三星、索爱等知名品牌手机的全国一级代理权,并已成为摩托罗拉、诺基亚战略合作伙伴,同时又是摩托罗拉、三星、阿尔卡特等多个国际和国内知名品牌的指定维修代理商。

详细说明:

问题发生在:http://tes.chinatelling.com/

漏洞标题:  天音通信某销售系统Tomcat弱口令可Getshell

其Tomcat服务存在弱口令:admin/admin

code 区域
http://tes.chinatelling.com:8080/

漏洞标题:  天音通信某销售系统Tomcat弱口令可Getshell

部署war

code 区域
http://tes.chinatelling.com:8080/is/index.jsp

漏洞标题:  天音通信某销售系统Tomcat弱口令可Getshell

漏洞证明:

如上

修复方案:

修改弱口令,限制上传。

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 天音通信某销售系统Tomcat弱口令可Getshell

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址