乌云: 阿里旺旺的远程任意代码执行漏洞(发送消息即中)

漏洞概要  

缺陷编号： WooYun-2013-33412

漏洞标题： 阿里旺旺的一个远程任意代码执行漏洞(发送消息即中)

相关厂商： 淘宝网

漏洞作者： fuck360

提交时间： 2013-08-03 17:41

公开时间： 2013-11-01 17:42

漏洞类型： 远程代码执行

危害等级： 高

自评Rank： 10

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org

Tags标签： 远程代码执行 客户端安全

漏洞详情

披露状态：

2013-08-03： 细节已通知厂商并且等待厂商处理中

2013-08-05： 厂商已经确认，细节仅向厂商公开

2013-08-08： 细节向第三方安全合作伙伴开放

2013-08-15： 细节向核心白帽子及相关领域专家公开

2013-08-25： 细节向普通白帽子公开

2013-09-14： 细节向实习白帽子公开

2013-11-01： 细节向公众公开

简要描述：

阿里旺旺远程传文件跨目录漏洞，可以传dll或exe到其他目录，导致命令执行(无需互交，直接发送消息即可)。

详细说明：

本漏洞为发送文件的时候可以写到对方任意目录，攻击者可直接将恶意文件写入其他位置，导致任意代码执行，影响最新版本阿里旺旺(7.21.04C)，卖家版同样受影响。

同时程序内部虽有安全检查，如过滤危险后缀名，但可以被攻击者绕过，以做到不需要用户交互即可触发，只需发送消息即可。

漏洞证明：

可指定要发送的文件名

点击确认按钮，数秒钟后对方目录下会发现发送成功的文件：

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2013-08-05 11:13

厂商回复：

感谢你对我们的支持与关注，该问题我们正在修复中~~

最新状态：

暂无

当前文章：乌云: 阿里旺旺的远程任意代码执行漏洞(发送消息即中)
浏览地址：http://www.shufengxianlan.com/qtweb/news45/328095.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联