易思ESPCMS企业网站管理系统后台getshell

披露状态:
2013-06-03: 细节已通知厂商并且等待厂商处理中
2013-06-03: 厂商已经确认,细节仅向厂商公开
2013-06-03: 厂商提前公开漏洞,细节向公众公开

简要描述:
详细说明:修改模板处未限制路径,可以通过../修改template目录以外的php文件,写入一句话。

(此处为了方便演示,写入了首页,写入了phpinfo,实际情况可以在隐蔽的文件写入一句话)

正常的修改是这样的

易思ESPCMS企业网站管理系统后台getshell

接下来,构造url

?archive=templatemain&action=templateedit&dir=../&filename=index.php&type=edit&freshid=0.41100375866517425&iframename=jerichotabiframe_0&iframeheightwindow=617&iframewidthwindow=1430

成功可以修改首页了

易思ESPCMS企业网站管理系统后台getshell

写进phpinfo

易思ESPCMS企业网站管理系统后台getshell

成功

易思ESPCMS企业网站管理系统后台getshell

看看首页?

易思ESPCMS企业网站管理系统后台getshell

漏洞证明:

易思ESPCMS企业网站管理系统后台getshell

修复方案:对文件路径进行限制,过滤../之类可跳出目录的特殊路径

禁止模板中写入php脚本

厂商回应:危害等级:高
漏洞Rank:10
确认时间:2013-06-03 11:25
厂商回复:感谢您对本漏洞的提供,我们会及时修复此漏洞!!!
最新状态:2013-06-03:已做修复。