中国电信某189.cn站点天翼对讲系统存在struts2任意命令执行漏洞

2016 /6/2 1:25
222
沙发

漏洞标题 中国电信某189.cn站点天翼对讲系统存在struts2任意命令执行漏洞
相关厂商 中国电信
漏洞作者 nansss
提交时间 2016-03-14 10:27
公开时间 2016-05-01 14:43
漏洞类型 命令执行
危害等级
自评Rank 20
漏洞状态 已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签 struts2漏洞

漏洞详情

http://**.**.**.**/login.action

(1)查看当前身份。

root.png

(2)可创建测试账号wooyun。

user.png

(3)因为当前为root身份,可执行任意操作。其他不在列举。

漏洞证明:

修复方案:


建议安装相关补丁。

版权声明:转载请注明来源 nansss@乌云