南京苏迪科技Webplus pro存在s2-045远程命令执行漏洞
| CNVD-ID |
CNVD-2017-02967 |
录入时间 |
2017-03-07 |
| 危害级别 |
高危 评分:10 |
报送时间 |
2017-03-07 |
| 产生原因 |
设计错误 |
归档时间 |
2017-03-21 |
| 引发威胁 |
管理员访问权限获取 |
公开时间 |
2017-04-22 |
| 攻击位置 |
远程 |
发现时间 |
2017-03-07 |
| 影响对象类型 |
WEB应用漏洞 |
是否热点漏洞 |
否 |
| 涉及厂商 |
南京苏迪科技 |
| 影响产品 |
南京苏迪科技 Webplus pro |
| 漏洞描述 |
南京苏迪科技Webplus pro是一套内容管理系统。 南京苏迪科技Webplus pro采用Apache Struts xwork作为网站应用框架,该框架Jakarta插件的文件上传功能存在远程命令执行漏洞s2-045,攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令,获得服务器权限。 |
| 参考链接 |
|
| 解决方案 |
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.sudytech.com/ |
| 厂商补丁 |
(暂无补丁信息) |
| 验证信息 |
未验证 |
|
