当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2012-07521
漏洞标题:
SinaEditor二次开发JSP版本漏洞
相关厂商:
创思佳互动网络CREATBEST
漏洞作者:
itleaf
提交时间:
2012-05-25 13:40
修复时间:
2012-07-09 13:40
公开时间:
2012-07-09 13:40
漏洞类型:
文件上传导致任意代码执行
危害等级:
自评Rank:
10
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2012-05-25: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经确认,细节仅向厂商公开
2012-06-01: 细节向第三方安全合作伙伴开放
2012-07-23: 细节向核心白帽子及相关领域专家公开
2012-08-02: 细节向普通白帽子公开
2012-08-12: 细节向实习白帽子公开
2012-07-09: 细节向公众公开

简要描述:

SinaEditor二次开发版本漏洞

详细说明:

   SinaEditor为开源web编辑器,创思佳互动网络经过二次开发得到JSP版本(猜测)。其版本存在上传漏洞,导致直接上传jsp webshell 拿下受影响的web服务器。由于创思佳互动网络CREATBEST对外开展网站建设业务,其负责建设的网站使用SinaEditor网站均存在漏洞。
受影响网站:交通部天津水运工程科学研究院www.tiwte.ac.cn
(旁站 北京铁路局天津火车站www.tjhcz.com.cn)

漏洞证明:


在测试过程中发现以下木马文件
http://www.tiwte.ac.cn/UserFiles/Image/1.jsp
http://www.tiwte.ac.cn/UserFiles/Image/1(1).jsp
http://www.tiwte.ac.cn/UserFiles/Image/job.jsp
http://www.tiwte.ac.cn/UserFiles/Image/shell.jsp
漏洞文件

<%@ page contentType="text/html;charset=utf-8" %>
<%@ page import="java.text.SimpleDateFormat"%>
<%@ page import="java.io.File"%>
<%@ page import="java.util.*"%>
<%@ page import="javazoom.upload.*"%>
<%@ page import="uploadutilities.FileMover"%>
<%@ page errorPage="ExceptionHandler.jsp" %>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<%  
      request.setCharacterEncoding("utf-8");
    FileMover fileMover = new FileMover();
   UploadBean upBean = new UploadBean();
      MultipartFormDataRequest mrequest = null;
   Hashtable files = null;
   
   if (MultipartFormDataRequest.isMultipartFormData(request))
      {
         mrequest = new MultipartFormDataRequest(request,null,100*1024*1024,MultipartFormDataRequest.COSPARSER,"UTF-8");
         files = mrequest.getFiles();
   }
 String sWebRootPath = request.getRealPath("/");
 String sPath=sWebRootPath+"upload\\Image";
 int iFileCount = 0;
 String sServerFileName="";
 String sLocalFileName = "";
 if ( (files != null) && (!files.isEmpty()) ) {
  iFileCount = files.size();
  UploadFile file = (UploadFile) files.get("file1");
  sLocalFileName=file.getFileName();
  int ii= sLocalFileName.indexOf(".");
  String sExt = sLocalFileName.substring(ii,sLocalFileName.length());
  java.util.Date dt = new java.util.Date(System.currentTimeMillis());
  SimpleDateFormat fmt = new SimpleDateFormat("yyyyMMddHHmmssSSS");
  sServerFileName= fmt.format(dt);
  sServerFileName =sServerFileName + sExt;
  File dir =new File(sPath);
  if (!dir.exists()){
   dir.mkdirs();
  }
  upBean.setFolderstore(sPath);
   upBean.setBlacklist("*.jsp");
   
  upBean.addUploadListener(fileMover);
  fileMover.setNewfilename(sServerFileName);
  upBean.store(mrequest, "file1");
  out.println("<script>window.parent.LoadIMG('/upload/Image/"+sServerFileName+"');</script>");
 }
%>


修复方案:

在相关upload.jsp的第31行末尾添加如下代码
if(sLocalFileName.contains(".jsp")){
return ;
}
此为针对此sinaeditor编辑器jsp版本图片上传漏洞的临时解决方案
注:没有全面测试

版权声明:转载请注明来源 itleaf@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2012-05-29 15:27

厂商回复:

CNVD确认并复现所述情况(感谢itleaf的大力协助),由于软件为开源软件,暂未能联系上厂商或开发方。对于涉及的网站用户(涉事单位),转由CNCERT协调进行处置。
对漏洞评分如下:
CVSS:(AV:R/AC:L/Au:NR/C:C/A:N/I:P/B:N) score:8.47(最高10分,高危)
即:远程攻击、攻击难度低、不需要用户认证,对机密性构成完全影响,对完整性构成部分影响。
技术难度系数:1.1 (给出了针对客户端验证的临时解决措施)
影响危害系数:1.2(一般,涉及部分企事业单位,由于不具备明显检测特征,暂无法评估)
CNVD综合评分:8.47*1.1*1.2=11.180

最新状态:

暂无