欧美性爱第四色色,啊啊啊啊啊在线看,一区二区三区毛

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

烏云: 阿里旺旺的遠程任意代碼執(zhí)行漏洞(發(fā)送消息即中)

漏洞概要

缺陷編號： WooYun-2013-33412

漏洞標題：阿里旺旺的一個遠程任意代碼執(zhí)行漏洞(發(fā)送消息即中)

相關廠商：淘寶網(wǎng)

漏洞作者： fuck360

提交時間： 2013-08-03 17:41

公開時間： 2013-11-01 17:42

漏洞類型：遠程代碼執(zhí)行

危害等級：高

自評Rank： 10

漏洞狀態(tài)：廠商已經(jīng)確認

漏洞來源： http://www.wooyun.org

Tags標簽：遠程代碼執(zhí)行客戶端安全

漏洞詳情

披露狀態(tài)：

2013-08-03：細節(jié)已通知廠商并且等待廠商處理中

2013-08-05：廠商已經(jīng)確認，細節(jié)僅向廠商公開

2013-08-08：細節(jié)向第三方安全合作伙伴開放

2013-08-15：細節(jié)向核心白帽子及相關領域?qū)＜夜_

2013-08-25：細節(jié)向普通白帽子公開

2013-09-14：細節(jié)向?qū)嵙暟酌弊庸_

2013-11-01：細節(jié)向公眾公開

簡要描述：

阿里旺旺遠程傳文件跨目錄漏洞，可以傳dll或exe到其他目錄，導致命令執(zhí)行(無需互交，直接發(fā)送消息即可)。

詳細說明：

本漏洞為發(fā)送文件的時候可以寫到對方任意目錄，攻擊者可直接將惡意文件寫入其他位置，導致任意代碼執(zhí)行，影響最新版本阿里旺旺(7.21.04C)，賣家版同樣受影響。

同時程序內(nèi)部雖有安全檢查，如過濾危險后綴名，但可以被攻擊者繞過，以做到不需要用戶交互即可觸發(fā)，只需發(fā)送消息即可。

漏洞證明：

可指定要發(fā)送的文件名

點擊確認按鈕，數(shù)秒鐘后對方目錄下會發(fā)現(xiàn)發(fā)送成功的文件：

漏洞回應

廠商回應：

危害等級：高

漏洞Rank：15

確認時間：2013-08-05 11:13

廠商回復：

感謝你對我們的支持與關注，該問題我們正在修復中~~

最新狀態(tài)：

暫無

網(wǎng)站名稱：烏云: 阿里旺旺的遠程任意代碼執(zhí)行漏洞(發(fā)送消息即中)
轉(zhuǎn)載來于：http://www.5511xx.com/article/dpgcdis.html