粉笔网过滤不严导致任意命令执行

漏洞详情

披露状态:

2014-05-27: 细节已通知厂商并且等待厂商处理中
2014-05-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

泄露敏感信息,系统命令执行。可提权。

详细说明:

作为编程学习网站,提供多种语言的在线编译、解析、运行环境,并过滤很多关键函数防止服务器被破坏。

以下是python 正常执行system命令返回错误。

QQ图片20140527102603.jpg



漏洞证明:

通过绕过常见函数,使用其他函数。可以轻易绕过。

2.jpg

3.jpg

4.jpg

修复方案:

加强其他可以执行命令的函数的过滤。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-27 12:12

厂商回复:

敝司是fenbi哈,提交的漏洞是fenby。

最新状态:

暂无


漏洞评价: