当前位置: 补天漏洞响应平台 >> 漏洞详情
带头大哥发布了一个保险类企业的命令执行漏洞
带头大哥
提交

漏洞描述

带头大哥发布了一个保险类企业的命令执行漏洞

漏洞详细

暂不公开

 QTVA-2017-609650
高危漏洞解释
1) 直接获取权限的漏洞(服务器权限、移动app客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞、可任意命令执行、可上传webshell、可任意代码执行
2)直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、重要业务的重点页面的存储型 XSS 漏洞
3)直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞
4)移动客户端app产品的自身开发功能的漏洞(不含Android系统漏洞).以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。
5)越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码
6)高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏
7)客户软件本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL 未校验合法性)以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞
8)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞
9)属于移动app客户端产品的自身开发功能的漏洞(不含Android系统漏洞),第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。

  • 漏洞厂商:
    某厂商
  • 状态:
    付款完成
  • 提交时间:
    2017-01-11 12:46:42
  • 官方评级:
    高危
  • 分享漏洞:
赞一下(1)
处理过程厂商未修复
提交漏洞

2017-01-11

被定为事件型漏洞

2017-01-11

已通知厂商

2017-01-11

厂商已确认

2017-01-12

已确定价格(支付奖励给白帽子)

2017-01-18

发起付款(7个工作日内完成付款)

2017-01-18

付款完成

2017-01-20

厂商修复中...

 

厂商回复

厂商回应: 确认漏洞
回复时间:2017-01-12 17:41:09
厂商留言:谢谢,我们马上处理
漏洞公开评论 [共 0 条]
还可以输入120
 
输入验证码:

忽略漏洞

忽略原因:  

详细说明:

 

确认忽略此漏洞关闭

确认漏洞

如果不做任何操作,我们会在倒计时结束后自动确认漏洞!

 

确认关闭

漏洞无需修复

详细说明:

确认关闭

留言

 

确认关闭

申请延期漏洞

延期天数:

申请原因:

 

确认关闭

确认已修复

确认关闭

微信二维码